Блиц по iptables(ipset) и route

@flosisa · Регистрация: 08.10.2013

Author24 — интернет-сервис помощи студентам

1. Во многих статьях по iptables заметил вот это, пример:
iptables -А INPUT -s Х.Х.Х.Х -j LOG
iptables -А INPUT -s Х.Х.Х.Х -j DROP
Я всегда думал, что когда iptables принимает решение -j(jump) - отправить пакет к действию LOG, пакет журналируется и уничтожается и не передается на следующее правило. Если так, зачем DROP'ить пакет, который уже останавливал свой путь на предыдущей правиле iptables -А INPUT -s Х.Х.Х.Х -j LOG?
2. route добавлен в /etc/rc.local чтобы после reboot'a автоматический прописывался нужный маршрут. Но как сделать, чтобы rc.local запустился после демонов, например после crond.
P.S.
В cron добавлен скрипт, который поднимает после reboot'a в системе интерфейсы как tun, tap или bridge. В rc.local указан route:
route add -net 1.1.1.0 netmask 255.255.255.0 gw 1.1.2.1 dev br1
Если не указать "dev" система выбирает другой interface. rc.local запускается, но к этому времени система не знает, че за interface br1, потому что еще не запускался crond. Вот поэтому route не прописывается после перезагрузки. Поменять очередь загрузки для таких файлов как rc.local по моему нельзя или ...? Может я ошибаюсь и rc.local запускается после запуска всех сервисов в папке /etc/rc.d/rcn.d/. Если не так, а тогда как быть? Как прописать нужный статический маршрут(опция -p нету как в Windows)?
4. Два одинаковых Linux сервера RHEL.
1-ом добавляется маршрут таким образом:
route add Х.Х.Х.Х. netmask 255.255.255.0 gw Y.Y.Y.Y
2-ом только так:
route add -net Х.Х.Х.Х netmask 255.255.255.0 gw Y.Y.Y.Y
Где это можно перенастроить? Синтаксис почему отличается?
5. Когда ipset не поднимается по каким-то причинам после reboot'a, например в автозагрузке он отключен, тогда и iptables не поднимается как надо и в системе отключается firewall. Это как раз таки мечтает злоумышленник. Злоумышленник может ли заставить ipset, чтобы он не поднялся нормально после reboot'a? Если даже нет, как думаете, связка ipset и iptables не так уж надежна как предполагалось и имеет уязвимости или я ошибаюсь? Ну у других как не знаю, но у меня такое точно случилось. Ну я читал в doc'ax, что ipset надо стартовать раньше чем iptables. Но не думал, что iptables на это реагирует так сильно и вообще не запустится.
Заранее всем огромное спасибо!

Dmitry · 13.02.2015, 09:55

по 2 - так допишите ваш маршрут не в рц.локал, а в конец скрипта, который поднимает туны, бриджи и т.п..

Новые блоги и статьи
Книги и учебные ресурсы по C# InfoMaster 08.01.2025 Базовые учебники и руководства Одной из лучших книг для начинающих является "C# 10 и . NET 6 для начинающих" Эндрю Троелсена и Филиппа Джепикса . Книга последовательно раскрывает основные концепции. . .	Что такое NullReferenceException и как исправить? InfoMaster 08.01.2025 NullReferenceException - одно из самых распространенных исключений, с которым сталкиваются разработчики на C#. Это исключение возникает при попытке обратиться к членам объекта (методам, свойствам или. . .	Что такое Null Pointer Exception (NPE) и как это исправить? InfoMaster 08.01.2025 Null Pointer Exception (NPE) - это одно из самых распространенных исключений в Java, которое возникает при попытке использовать ссылку на объект, значение которой равно null. Это исключение относится. . .	Русский язык в консоли C++ InfoMaster 08.01.2025 При разработке программ на C++ одной из частых проблем, с которой сталкиваются русскоязычные программисты, является корректное отображение кириллицы в консольных приложениях. Эта проблема особенно. . .	Telegram бот на C# InfoMaster 08.01.2025 Разработка ботов для Telegram стала неотъемлемой частью современной экосистемы мессенджеров. C# предоставляет мощный и удобный инструментарий для создания разнообразных ботов, от простых. . .	Использование GraphQL в Go (Golang) InfoMaster 08.01.2025 Go (Golang) является одним из наиболее популярных языков программирования, используемых для создания высокопроизводительных серверных приложений. Его архитектурные особенности и встроенные. . .
Что лучше использовать при создании класса в Java: сеттеры или конструктор? Alexander-7 08.01.2025 Вопрос подробнее: На вопрос: «Когда одновременно создаются конструктор и сеттеры в классе – это нормально?» куратор уточнил: «Ваш класс может вообще не иметь сеттеров, а только конструктор и геттеры. . .	Как работать с GraphQL на TypeScript InfoMaster 08.01.2025 Введение в GraphQL и TypeScript В современной разработке веб-приложений GraphQL стал мощным инструментом для создания гибких и эффективных API. В сочетании с TypeScript, эта технология. . .	Счётчик на базе сумматоров + регистров и генератора сигналов согласования. Hrethgir 07.01.2025 Создан с целью проверки скорости асинхронной логики: ранее описанного сумматора и предополагаемых fast регистров. Регистры созданы на базе ранее описанного, предполагаемого fast триггера. То-есть. . .	Как перейти с Options API на Composition API в Vue.js BasicMan 06.01.2025 Почему переход на Composition API актуален В мире современной веб-разработки фреймворк Vue. js продолжает эволюционировать, предлагая разработчикам все более совершенные инструменты для создания. . .	Архитектура современных процессоров inter-admin 06.01.2025 Процессор (центральный процессор, ЦП) является основным вычислительным устройством компьютера, которое выполняет обработку данных и управляет работой всех остальных компонентов системы. Архитектура. . .	История создания реляционной модели баз данных, правила Кодда Programming 06.01.2025 Предпосылки создания реляционной модели В конце 1960-х годов компьютерная индустрия столкнулась с серьезными проблемами в области управления данными. Существовавшие на тот момент модели данных -. . .

@flosisa 0 / 0 / 0 Регистрация: 08.10.2013 Сообщений: 17
		1
	Блиц по iptables(ipset) и route 12.02.2015, 15:53. Показов 1147. Ответов 1 Метки нет (Все метки) 1. Во многих статьях по iptables заметил вот это, пример: iptables -А INPUT -s Х.Х.Х.Х -j LOG iptables -А INPUT -s Х.Х.Х.Х -j DROP Я всегда думал, что когда iptables принимает решение -j(jump) - отправить пакет к действию LOG, пакет журналируется и уничтожается и не передается на следующее правило. Если так, зачем DROP'ить пакет, который уже останавливал свой путь на предыдущей правиле iptables -А INPUT -s Х.Х.Х.Х -j LOG? 2. route добавлен в /etc/rc.local чтобы после reboot'a автоматический прописывался нужный маршрут. Но как сделать, чтобы rc.local запустился после демонов, например после crond. P.S. В cron добавлен скрипт, который поднимает после reboot'a в системе интерфейсы как tun, tap или bridge. В rc.local указан route: route add -net 1.1.1.0 netmask 255.255.255.0 gw 1.1.2.1 dev br1 Если не указать "dev" система выбирает другой interface. rc.local запускается, но к этому времени система не знает, че за interface br1, потому что еще не запускался crond. Вот поэтому route не прописывается после перезагрузки. Поменять очередь загрузки для таких файлов как rc.local по моему нельзя или ...? Может я ошибаюсь и rc.local запускается после запуска всех сервисов в папке /etc/rc.d/rcn.d/. Если не так, а тогда как быть? Как прописать нужный статический маршрут(опция -p нету как в Windows)? 4. Два одинаковых Linux сервера RHEL. 1-ом добавляется маршрут таким образом: route add Х.Х.Х.Х. netmask 255.255.255.0 gw Y.Y.Y.Y 2-ом только так: route add -net Х.Х.Х.Х netmask 255.255.255.0 gw Y.Y.Y.Y Где это можно перенастроить? Синтаксис почему отличается? 5. Когда ipset не поднимается по каким-то причинам после reboot'a, например в автозагрузке он отключен, тогда и iptables не поднимается как надо и в системе отключается firewall. Это как раз таки мечтает злоумышленник. Злоумышленник может ли заставить ipset, чтобы он не поднялся нормально после reboot'a? Если даже нет, как думаете, связка ipset и iptables не так уж надежна как предполагалось и имеет уязвимости или я ошибаюсь? Ну у других как не знаю, но у меня такое точно случилось. Ну я читал в doc'ax, что ipset надо стартовать раньше чем iptables. Но не думал, что iptables на это реагирует так сильно и вообще не запустится. Заранее всем огромное спасибо! 0

Dmitry 13361 / 7493 / 820 Регистрация: 09.09.2009 Сообщений: 29,295
	13.02.2015, 09:55	2
	по 2 - так допишите ваш маршрут не в рц.локал, а в конец скрипта, который поднимает туны, бриджи и т.п.. 0