Autor Wątek: Czasowe wyłączenie dostępu do neta (Przeczytany 2603 razy)

konrad_51 · « **dnia:** 2016-07-04, 13:07:40 »

Próbuje czasowo wyłączyć dostęp do neta dla ip 192.168.1.2 dopisałem do firewoll następujące regułki:

$i -I INPUT 1 -s 192.168.1.2 -m time --timestart 12:00 --timestop 05:00 -j DROP
$i -I FORWARD 1 -s 192.168.1.2 -m time --timestart 12:00 --timestop 05:00 -j DROP
$i -I INPUT 2 -d 192.168.1.2 -m time --timestart 12:00 --timestop 05:00 -j DROP
$i -I FORWARD 2 -d 192.168.1.2 -m time --timestart 12:00 --timestop 05:00 -j DROP

Wyłączenie działa jeżeli czas od resetu firewoll do ustawionej godziny wyłączenia jest mniejszy niż 1 godzina. Co może być przyczyna że powyżej 1 godziny firewoll nie odłącza internetu na ip 192.168.1.2. Poniżej załączam listing iptables -L -n

target prot opt source destination
DROP all -- 192.168.1.2 0.0.0.0/0 TIME from 12:0 to 5:0 on Sun,Mon,Tue,Wed,Thu,Fri
DROP all -- 0.0.0.0/0 192.168.1.2 TIME from 12:0 to 5:0 on Sun,Mon,Tue,Wed,Thu,Fri
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 135,445
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 reject-with icmp-port-unreachable
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1080 reject-with icmp-port-unreachable
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 137,138,139
DROP udp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 137,138,139
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 443
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 443
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5
ACCEPT all -- 192.168.1.2 0.0.0.0/0
ACCEPT all -- 192.168.1.3 0.0.0.0/0
ACCEPT all -- 192.168.1.20 0.0.0.0/0
ACCEPT all -- 192.168.1.5 0.0.0.0/0
ACCEPT all -- 192.168.1.6 0.0.0.0/0
ACCEPT all -- 192.168.1.7 0.0.0.0/0
ACCEPT all -- 192.168.1.8 0.0.0.0/0
ACCEPT all -- 192.168.1.23 0.0.0.0/0
ACCEPT all -- 192.168.1.24 0.0.0.0/0
ACCEPT all -- 192.168.1.25 0.0.0.0/0
ACCEPT all -- 127.0.0.1 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target prot opt source destination
DROP all -- 192.168.1.2 0.0.0.0/0 TIME from 12:0 to 5:0 on Sun,Mon,Tue,Wed,Thu,Fri
DROP all -- 0.0.0.0/0 192.168.1.2 TIME from 12:0 to 5:0 on Sun,Mon,Tue,Wed,Thu,Fri
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 135,445
DROP all -- 0.0.0.0/0 0.0.0.0/0 ipp2p v0.8.2 --ipp2p
DROP tcp -- 192.168.1.2 0.0.0.0/0 tcp flags:0x16/0x02 #conn/32 > 75
DROP tcp -- 192.168.1.3 0.0.0.0/0 tcp flags:0x16/0x02 #conn/32 > 75
DROP tcp -- 192.168.1.20 0.0.0.0/0 tcp flags:0x16/0x02 #conn/32 > 75
DROP tcp -- 192.168.1.5 0.0.0.0/0 tcp flags:0x16/0x02 #conn/32 > 75
DROP tcp -- 192.168.1.6 0.0.0.0/0 tcp flags:0x16/0x02 #conn/32 > 75
DROP tcp -- 192.168.1.7 0.0.0.0/0 tcp flags:0x16/0x02 #conn/32 > 75
DROP tcp -- 192.168.1.8 0.0.0.0/0 tcp flags:0x16/0x02 #conn/32 > 75
DROP tcp -- 192.168.1.23 0.0.0.0/0 tcp flags:0x16/0x02 #conn/32 > 75
DROP tcp -- 192.168.1.24 0.0.0.0/0 tcp flags:0x16/0x02 #conn/32 > 75
DROP tcp -- 192.168.1.25 0.0.0.0/0 tcp flags:0x16/0x02 #conn/32 > 75
DROP tcp -- 127.0.0.1 0.0.0.0/0 tcp flags:0x16/0x02 #conn/32 > 75
ACCEPT all -- 192.168.1.2 0.0.0.0/0
ACCEPT all -- 192.168.1.3 0.0.0.0/0
ACCEPT all -- 192.168.1.20 0.0.0.0/0
ACCEPT all -- 192.168.1.5 0.0.0.0/0
ACCEPT all -- 192.168.1.6 0.0.0.0/0
ACCEPT all -- 192.168.1.7 0.0.0.0/0
ACCEPT all -- 192.168.1.8 0.0.0.0/0
ACCEPT all -- 192.168.1.23 0.0.0.0/0
ACCEPT all -- 192.168.1.24 0.0.0.0/0
ACCEPT all -- 192.168.1.25 0.0.0.0/0
ACCEPT all -- 127.0.0.1 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

Paweł Kraszewski · « **Odpowiedź #1 dnia:** 2016-07-04, 15:16:06 »

To _może_ być problem z "zawinięciem" godziny. Próbowałeś z regułami 12:00-24:00 plus 0:00-5:00?

konrad_51 · « **Odpowiedź #2 dnia:** 2016-07-04, 19:28:13 »

Próbowałem z regułami 19:00-00:00, restart firewolla wykonałem około godziny 16 i nadal nie działa

Paweł Kraszewski · « **Odpowiedź #3 dnia:** 2016-07-05, 09:12:19 »

A czy zwróciłeś uwagę, że firewall (jak i reszta kernela) działa w strefie czasowej UTC?

Robiłem testy u mnie (2x Ubuntu 16.04) i wszystko działa - z uwzględnieniem, że dla kernela są dwie godziny wcześniej. Teraz mamy 9.11 CEST, reguły czasowe kernela widzą 7:11 UTC.

I na litość: firewall.

konrad_51 · « **Odpowiedź #4 dnia:** 2016-07-06, 23:49:59 »

To był problem z "zawinięciem" godziny mój błąd, wpisywałem timestop 00:00 a powinno być 23:59.
Dzięki za szybką odpowiedź.

$i -I FORWARD -s 192.168.1.2 -m time --timestart 22:00 --timestop 23:59 -j DROP
$i -I FORWARD -s 192.168.1.2 -m time --timestart 00:00 --timestop 05:00 -j DROP

Aktualności:

Linux.pl »

Nowe posty

Autor Wątek: Czasowe wyłączenie dostępu do neta (Przeczytany 2603 razy)

konrad_51

Czasowe wyłączenie dostępu do neta

Paweł Kraszewski

Odp: Czasowe wyłączenie dostępu do neta

konrad_51

Odp: Czasowe wyłączenie dostępu do neta

Paweł Kraszewski

Odp: Czasowe wyłączenie dostępu do neta

konrad_51

Odp: Czasowe wyłączenie dostępu do neta