master Posted September 17, 2011 Report Share Posted September 17, 2011 Здравейте, като цяло правилото съм го направил но забранява пинга от дадено IP изцяло. На "Packet Size" зададох 1500 като идеята е когато пинга е с по голям от този размер да го реже но не се получава. Версията е 5.7 на рутер борд. На кратко съм сетнал това: Chain : Input Src address : IP то което искам да огранича Dst аddress : IP то на GW -я Protocol: ICMP Packet Size: 1500 Action: Drop Analog Audio™ Link to comment Share on other sites More sharing options...
0 Semoff Posted September 17, 2011 Report Share Posted September 17, 2011 Сетни го на 1550 или 1600, че някой ден ако искаш да прекараш тагнат VLAN или някой друг протокол/услуга дето слага примерно 8 байта над тея 1500 и ще имаш грижи Link to comment Share on other sites More sharing options...
0 master Posted September 17, 2011 Author Report Share Posted September 17, 2011 Аз както и да го сетна той си минава все едно, че правилото НЕ работи мен това ми е чудно. Analog Audio™ Link to comment Share on other sites More sharing options...
0 ushoplias Posted September 17, 2011 Report Share Posted September 17, 2011 Ми той размера на пакета няма как да е по-голям от 1500. Май трябва да забраниш фрагментирането. Link to comment Share on other sites More sharing options...
0 Semoff Posted September 17, 2011 Report Share Posted September 17, 2011 На Slackware/Debian съм сложил: iptables -A INPUT -p icmp --icmp-type 8 -s x.x.x.x/y -j ACCEPT iptables -A INPUT -p icmp --icmp-type 8 -j DROP Което забранява целия пинг към машината извън зададената мрежа. Предполагам, че ще трябва да се добави "--connbytes 1500" към първия ред. И после ще трябва да си го приведеш в МТ формат 1 Link to comment Share on other sites More sharing options...
0 pavlan Posted September 17, 2011 Report Share Posted September 17, 2011 (edited) ip firewall mangle print ... chain=prerouting action=mark-packet new-packet-mark=big_icmp passthrough=yes protocol=icmp icmp-options=8:0-255 packet-size=1529-65535 ip firewall filter print ... chain=input action=reject reject-with=icmp-host-unreachable dst-address=xxx.xxx.xxx.xxx packet-mark=big_icmp първо маркираш и след това режеш action=drop можеш да сложиш по избор packet-size ти е размера на IP пакета затова съм сложил 1529 колегата Семофф неразбрах защо забърка и vlan тука ? Edited September 17, 2011 by pavlan Link to comment Share on other sites More sharing options...
0 Semoff Posted September 17, 2011 Report Share Posted September 17, 2011 колегата Семофф неразбрах защо забърка и vlan тука ? Щото не съм допрочел темата ... ама такае, който поства рано сутринта без да е пил кафе Незнам, що реших че човека иска да ограничи пакетите с големина по-голяма от 1500 дето минават през GW Link to comment Share on other sites More sharing options...
0 master Posted September 17, 2011 Author Report Share Posted September 17, 2011 Еми идеята е ако някой от локалната мрежа пингва GW с по голям от 1500 да го дропи. Analog Audio™ Link to comment Share on other sites More sharing options...
0 pavlan Posted September 17, 2011 Report Share Posted September 17, 2011 еми ето де , готов си Link to comment Share on other sites More sharing options...
0 master Posted September 17, 2011 Author Report Share Posted September 17, 2011 (edited) Сега го мъча и се омаза яко. Но имам както казваше един "имаш поле за действие". Благодаря, по късно ще пиша какво съм забъркал. Edited September 17, 2011 by master Analog Audio™ Link to comment Share on other sites More sharing options...
0 Administrator 111111 Posted September 17, 2011 Administrator Report Share Posted September 17, 2011 обяви и интерфейсите за по лесно Харесай поста ^^^ Форумът е за взаимопомощ а не за свършване на чужда работа ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ Link to comment Share on other sites More sharing options...
0 Diogen Posted September 17, 2011 Report Share Posted September 17, 2011 В крайна сметка отговора се намери, но каква е ползата от тази забрана. Какво целим? Link to comment Share on other sites More sharing options...
0 master Posted September 17, 2011 Author Report Share Posted September 17, 2011 Нещо ми куца на мен и не ми тръгва за това в момента съм го направил както съм писал в 1 вия пост и дропи всякакви не зависимо от размера. Ами има някой хора който няма какво да правят като гледам и пингват на поразия с по 2-3-10 конзоли и голям пакет. По принцип няма проблем за момента но не ми допада идеята да остане така още повече, че на някой места са зад радио. Analog Audio™ Link to comment Share on other sites More sharing options...
0 Diogen Posted September 17, 2011 Report Share Posted September 17, 2011 В такъв случай остави по-малко, като например 64 или 128. Аз проблема съм го решил така: chain=input action=accept protocol=icmp limit=50/5s,2 chain=input action=drop protocol=icmp Link to comment Share on other sites More sharing options...
0 master Posted September 17, 2011 Author Report Share Posted September 17, 2011 направих го но правилото си отчита трафика от пинга обаче не дропи Analog Audio™ Link to comment Share on other sites More sharing options...
0 Diogen Posted September 17, 2011 Report Share Posted September 17, 2011 Виж да нямаш някакво правило по горе, което да разрешава нещо от мрежата от която тестваш. При мен правилото си работи. Link to comment Share on other sites More sharing options...
Question
master
Здравейте, като цяло правилото съм го направил но забранява пинга от дадено IP изцяло. На "Packet Size" зададох 1500 като идеята е когато пинга е с по голям от този размер да го реже но не се получава. Версията е 5.7 на рутер борд.
На кратко съм сетнал това:
Chain : Input
Src address : IP то което искам да огранича
Dst аddress : IP то на GW -я
Protocol: ICMP
Packet Size: 1500
Action: Drop
Analog Audio™
Link to comment
Share on other sites
18 answers to this question
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now