Udp port range blokkeren met iptables

[pilotbabo]

Ik wil inkomende udp port range blokkeren (of forwarden) met iptables. Ik heb e.e.a. geprobeerd maar gebeurt niets.

Kernel versie is 2.6.x

[Gast foxm]

Wat heb je precies geprobeert dan?

 

Wil je een iptables firewall + ip forwarding probeer dan fwbuilder

(ff googlen dan het eerste linkje).

Deze tool is ff wennen maar werk perfect om ip forwarding + firewall te doen.

 

suc6

foxm

[pilotbabo]

iptables -t nat -A PREROUTING -p udp --dport 5000 -j REDIRECT --to-port 5001

 

Maar de applicatie pakte nog steeds pakketen op poort 5000.

 

Ik wil niet een grafische oplossing omdat deze wil ik in crontab inzetten.

[Gast foxm]

Origineel bericht van: pilotbabo

iptables -t nat -A PREROUTING -p udp --dport 5000 -j REDIRECT --to-port 5001

Maar de applicatie pakte nog steeds pakketen op poort 5000.

Ik wil niet een grafische oplossing omdat deze wil ik in crontab inzetten.

Ik denk dat je een iptables -F nat vergeten bent.
-F is flush of te wel gooi oude rules weg een creeer daarna nieuwe.
dus:

iptables -F nat
iptables -t nat -A PREROUTING -p udp --dport 5000 -j REDIRECT --to-port 5001

Dan zouden er geen pakketjes meer door mogen komen.
Let wel, als je ook nog andere rules heb staan in de nat tabel dan ben je die ook kwijt.

suc6
foxm.

[Gast foxm]

Origineel bericht van: pilotbabo

iptables -t nat -A PREROUTING -p udp --dport 5000 -j REDIRECT --to-port 5001

Maar de applicatie pakte nog steeds pakketen op poort 5000.

Ik wil niet een grafische oplossing omdat deze wil ik in crontab inzetten.

met fwbuilder bouw je een iptables rule set.
wat gewoon een script is.

Maar waarom wil je een iptables rule script in cron zetten?
Wat is de bedoeling/nut daarvan?

foxm

[pilotbabo]

Deze wil ik in crontab alleen blokkeren/redirecten tijdens het opstarten van een applicatie en daarna wil ik met optie -D de ingang weer verwijderen uit iptables. Deze applicatie heeft last (bug) van veel udp traffic tijdens het opstarten.

[pilotbabo]

# iptables -F nat

iptables: No chain/target/match by that name

 

 

Geprobeerd maar werkt nog steeds niet.

[Gast foxm]

Kan je eens de ouput van dit commando posten.

 

iptables -t nat -vnL

 

En van deze.

 

iptables -L -nvx

 

Thnx

 

 

[pilotbabo]

# iptables -t nat -vnL

Chain PREROUTING (policy ACCEPT 20171 packets, 2876K bytes)

pkts bytes target prot opt in out source destination

 

Chain POSTROUTING (policy ACCEPT 42310 packets, 4219K bytes)

pkts bytes target prot opt in out source destination

 

Chain OUTPUT (policy ACCEPT 42310 packets, 4219K bytes)

pkts bytes target prot opt in out source destination

 

 

 

# iptables -L -nvx

Chain INPUT (policy ACCEPT 663438 packets, 91214653 bytes)

pkts bytes target prot opt in out source destination

 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

 

Chain OUTPUT (policy ACCEPT 679394 packets, 93312532 bytes)

pkts bytes target prot opt in out source destination

 

 

[MagicOnline]

Waarom pas je niet gewoon de iptables config aan?

 

Zorg dat standaard alles dicht staat en ga dan pas toegang geven.

Scheelt je een hoop werk op die manier.

 

Voorbeeld van een enkele udp port forward:

Code:

$IPT -t nat -A PREROUTING -p udp -i $INET_IFACE --destination-port 2400 \     -j DNAT --to-destination 192.168.1.100

 

En hier 1tje van een udp range:

Code:

$IPT -t nat -A PREROUTING -p udp -i $INET_IFACE --destination-port 2400:2500 \     -j DNAT --to-destination 192.168.1.100