Re: iptables i komunikat o niepłaceniu

[Roman Kalukiewicz <romkal@borek.sytes.net>]

adam napisał(a):

> iptables -t nat -A PREROUTING -p tcp -s 192.168.1.4 --dport www \
>                                -m limit --limit 4/day --limit-burst 1 \
>                                -j DNAT --to-destination 192.168.1.1:8000
> Czyli musze najpierw 
>
> IPT -t nat -p tcp -A PREROUTING -s 192.168.1.3 --dport 80 -m limit --limit
> 1/hour --limit-burst 1 -j DNAT --to 192.168.1.1:8000
> Żeby te reguły były na górze a dopiero później cała reszta dotycząca tego
> usera
>  
Możesz po prostu zamiast -A PREROUTING robić -I PREROUTING 1 - wtedy 
zawsze regółka wpadnie na pierwsze miejsce w tablicy.

Ale myślę, że regółka jest poprawna, tylko z jakichś powodów pakiety 
kolejne są gdzieś indziej odfiltrowywane.
Najlepiej sprawdź (jeżeli generujesz te regółki automatycznie), czy 
faktycznie po pierwszym wyświetleniu warninga o niezapłaceniu 
odpowiednie regóły są dalej w tabeli.

Poza tym dla każdego usera co to nie zapłacił musisz mieć oczywiście 
osobną regółkę, żeby każdemu osobno liczył --limit.
Jak masz 3 co nie zapłaciło to musisz mieć regółki DNAT dla każdego z 
ich IP.

> $IPT -A INPUT -p udp -m mac --mac-source 00:0c:6e:1c:13:5e --dport 67
> --sport 68 -j ACCEPT
> $IPT -A FORWARD -m mac --mac-source 00:0c:6e:1c:13:5e -s 192.168.1.4 -j
> ACCEPT
> $IPT -A INPUT -m mac --mac-source 00:0c:6e:1c:13:5e -s 192.168.1.4 -p tcp -m
> state --state NEW -m multiport --dport
> 20,21,25,53,80,110,137,138,139,8000,8080 -j ACCEPT
> $IPT -A INPUT -m mac --mac-source 00:0c:6e:1c:13:5e -s 192.168.1.4 -p udp -m
> state --state NEW -m multiport --dport 53,137,138,139 -j ACCEPT
>  
A jeżeli idzie o te regóły to trafiają do innej tabeli więc ich 
kolejność ma się nijak do tych z tabeli NAT.

--
Pozdrawiam
Romek Kalukiewicz