[Megoldva] Iptables hiba, ha van iprange

Linux-security

Hello!

Egy Debian szerveren iptablessel akarok klienseket szurni. KB igy:

iptables -A FORWARD -m iprange --src-range 10.0.0.100-10.0.0.219 -p tcp --dport 80 -j DROP

De ez a hiba jon valaszul: No chain/target/match by that name.

Valahol azt talaltam, hogy a modprobe ipt_iprange segit. De mivel eleg kezdo linuxos vagyok, innen mar nem tudok tovabb menni.

Tudna valaki segiteni?

Koszi elore is.

  • 1855 megtekintés

( foci v | 2008. 06. 09., h – 13:58 )

mert ez nem jo neki
pl igy kellene megadnod:
10.0.0.100-10.0.0.219 helyett külön külön:
10.0.0.100/30
10.0.0.104/29
10.0.0.112/28
10.0.0.128/26
10.0.0.192/28
10.0.0.208/29
10.0.0.216/30

Na ennyi tuzfal szabalyod lesz!

Már bocs, de ez zöldség. Az iprange pont arra való, és úgy kell használni, ahogy OP írta.

Ami miatt nem megy, az vagy a) a kernelben nincs benn az iprange támogatás, vagy b) az iptables binárishoz nincs meg, vagy (és ez a legvalószínűbb) c) egyikhez sem.

A következő parancsok találnak valamit? 


% find /lib/modules/ -name ipt_iprange.ko
% find /lib/iptables -name libipt_iprange.so

Ha csak az egyik, vagy egyik sem, akkor nincs meg az iprange támogatásod.

Hogy lehet ezzel az alhalozati maszkkal ip intervallumot megadni ?

Annyit nezegettem mar, de meg mindig nem ertem teljesen.

Egyebkent nekem eleg lenne csak a 100-119 ig es a 200-219 ig terjedo klienseket szurni, ha mar ezzel a maszkkal kellene eljatszani. Vagy az is jo nekem, hogy 100-tol felfele mindet!

Ezekben a csomagokban van ipt_iprange.ko, az iptables csomag pedig tartalmazza a libipt_iprange.so-t.

Mint fent írtad, a /lib/iptables/libipt_iprange.so megvan, a kernelmodul viszont nincs, és a hibaüzenet szerint nincs statikusan belefordítva a kernelbe.

Ezek után az a kérdés, hogy milyen kernel fut. Csomagból, vagy saját magad által fordított? Milyen release? Etch?

Ebből az derül ki, hogy:

1.) Valószínűleg nem csomagból feltett (saját fordítású) kernel, mivel az Etch-ben egyáltalán nincs 2.4-es, a Sarge-ban 2.4.27 van.
2.) A verziószámot töröltétek.
3.) Lásd 1. pont.

A 2.4.27-ben még nem volt, a 2.6.18-ban már van iprange. A 2.4.25-ről nincs információm, de így valószínű, hogy abban sem volt még.

Ha mindenképpen az iprange modult szeretnéd használni, akkor vagy csomagból kellene feltenni egy újabb kernelt, vagy fordítani egyet. Ha ezekre nem vállalkozol, akkor a fenti hozzászólásokban említett módon subnetelve, több szabállyal is ugyanúgy megoldható a kérdés.

Jelenleg kadlec által leírt a) pont tűnik esélyes állapotnak.

Koszonom a valaszt, igy akkor megoldottam iptablessal, mert nem merek csak ugy kernelt frissitgetni - foleg hogy nem is tudok. :)

Mar csak az volna a kerdesem, hogy :

Hol tudom megnezni, hogy a debian bootolaskor (vagy utana) melyik fajlbol veszi ki a tuzfal konfiguraciot? Mert alapertelmezette szeretnem tenni ezeket a beallitasokat.

Es miutan elmentettem a fajlba a beallitasokat, nem szeretnem a servert resetelni, ezert hogy tudom "ujrainditani" a tuzfalat ?

(arra gondolok, hogy nem akarnak kulon - kulon iptables parancsokat elkuldeni)

( atlantic | 2008. 06. 10., k – 15:20 )

Kicsit off, de ha már Kadlecsik József válaszol, akkor azért megkérdezném. Ha van egy régi kernel, RHEL 3-ból, 2.4.21-20.ELsmp, benne netfilter, és default policy DROP, kivéve amit engedünk, akkor erre igaz az, hogy nem biztonságos a régi kernel miatt? Tényleg létezik olyan biztonsági rés a kernelben, ami a netfilter hibát használ ki?