Re: Не получается удалить правило с IPset из цепочки IPTABLES
Решено! Надо было поставить пакет iptables из sid (версия 1.4.10-1) взамен тому что есть в squeeze (версия 1.4.8-3). Тогда ipset v6.0 на ядре 2.6.38-rc7 работает :) -- Best regards Rubik Andrey email: tirnota...@gmail.com GPGKey: 1024D / 2EA8E207 2010-03-01 7E60 4450 CD90 6E2D E949 6254 7FDC 5F5C 2EA8 E207 signature.asc Description: This is a digitally signed message part
Не получается удалить правило с IPset из цепочки IPTABLES
Всем доброго дня! Создана таблица в ipset: ipset -N ddos iphash Есть правило в iptables: iptables -A INPUT -p tcp --dport 80 -m set --match-set ddos src -j DROP Не могу его удалить: iptables -D INPUT -p tcp --dport 80 -m set --match-set ddos src -j DROP iptables: Bad rule (does a matching rule exist in that chain?). Вариант iptables -F INPUT не подходит, т.к. мне нужно удалить только одно это правило. Если работать с правилами которые не содержат таблиц ipset, то всё работает: iptables -A INPUT -p tcp --dport 80 -j DROP iptables -D INPUT -p tcp --dport 80 -j DROP В чём я не прав? -- Best regards Rubik Andrey email: tirnota...@gmail.com GPGKey: 1024D / 2EA8E207 2010-03-01 7E60 4450 CD90 6E2D E949 6254 7FDC 5F5C 2EA8 E207 signature.asc Description: This is a digitally signed message part
Re: Не получается удалить правило с IPset из цепочки IPTABLES
On 13.03.2011 15:36, Rubik Andrey wrote: Создана таблица в ipset: ipset -N ddos iphash Есть правило в iptables: iptables -A INPUT -p tcp --dport 80 -m set --match-set ddos src -j DROP Не могу его удалить: iptables -D INPUT -p tcp --dport 80 -m set --match-set ddos src -j DROP iptables: Bad rule (does a matching rule exist in that chain?). Вариант iptables -F INPUT не подходит, т.к. мне нужно удалить только одно это правило. Если работать с правилами которые не содержат таблиц ipset, то всё работает: iptables -A INPUT -p tcp --dport 80 -j DROP iptables -D INPUT -p tcp --dport 80 -j DROP В чём я не прав? Непонятно пока, я ipset не использовал. А как выглядит правило, если посмотреть iptables-save? Может, переформулировать его так, как оно хранится унутре? -- Alex -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d7cbb04.4040...@kuklin.ru
Re: Не получается удалить правило с IPset из цепочки IPTABLES
В Вск, 13/03/2011 в 15:39 +0300, Alex Kuklin пишет: Непонятно пока, я ipset не использовал. А как выглядит правило, если посмотреть iptables-save? Может, переформулировать его так, как оно хранится унутре? Не помогло :( # iptables-save # Generated by iptables-save v1.4.8 on Sun Mar 13 15:52:15 2011 *filter :INPUT ACCEPT [48083:31352536] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [33361:4436871] -A INPUT -p tcp -m tcp --dport 80 -m set --match-set ddos src -j DROP COMMIT Попробовал его удалить: iptables -D INPUT -p tcp -m tcp --dport 80 -m set --match-set ddos src -j DROP iptables: Bad rule (does a matching rule exist in that chain?). -- Best regards Rubik Andrey email: tirnota...@gmail.com GPGKey: 1024D / 2EA8E207 2010-03-01 7E60 4450 CD90 6E2D E949 6254 7FDC 5F5C 2EA8 E207 signature.asc Description: This is a digitally signed message part
Re: Не получается удалить правило с IPset из цепочки IPTABLES
On Sun, Mar 13, 2011 at 03:56:09PM +0300, Rubik Andrey wrote: В Вск, 13/03/2011 в 15:39 +0300, Alex Kuklin пишет: Непонятно пока, я ipset не использовал. А как выглядит правило, если посмотреть iptables-save? Может, переформулировать его так, как оно хранится унутре? Не помогло :( # iptables-save # Generated by iptables-save v1.4.8 on Sun Mar 13 15:52:15 2011 *filter :INPUT ACCEPT [48083:31352536] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [33361:4436871] -A INPUT -p tcp -m tcp --dport 80 -m set --match-set ddos src -j DROP COMMIT Попробовал его удалить: iptables -D INPUT -p tcp -m tcp --dport 80 -m set --match-set ddos src -j DROP iptables: Bad rule (does a matching rule exist in that chain?). Оно и по номеру не удаляется? (iptables --line-numbers -L; iptables [-t table] -D chain rulenum) -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110313140955.GA28973@kaiba.homelan
Re: Не получается удалить правило с IPset из цепочки IPTABLES
В Вск, 13/03/2011 в 17:09 +0300, Stanislav Maslovski пишет: On Sun, Mar 13, 2011 at 03:56:09PM +0300, Rubik Andrey wrote: В Вск, 13/03/2011 в 15:39 +0300, Alex Kuklin пишет: Непонятно пока, я ipset не использовал. А как выглядит правило, если посмотреть iptables-save? Может, переформулировать его так, как оно хранится унутре? Не помогло :( # iptables-save # Generated by iptables-save v1.4.8 on Sun Mar 13 15:52:15 2011 *filter :INPUT ACCEPT [48083:31352536] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [33361:4436871] -A INPUT -p tcp -m tcp --dport 80 -m set --match-set ddos src -j DROP COMMIT Попробовал его удалить: iptables -D INPUT -p tcp -m tcp --dport 80 -m set --match-set ddos src -j DROP iptables: Bad rule (does a matching rule exist in that chain?). Оно и по номеру не удаляется? (iptables --line-numbers -L; iptables [-t table] -D chain rulenum) -- Stanislav По номеру удалить получается, спасибо :) Но дело в том, что эти правила могут меняться с течением времени (fail2ban). Вообщем-то, можно было бы написать скрипт, который, используя описанные Вами команды, парсит вывод для определения номера искомого правила, а потом и удаляет правило с этим номером. Однако я так и не понял, почему мой способ не работает... особенно тот факт что он частично не работает (ведь правила без ipset система удаляет). Кстати, если это важно: # uname -mr 2.6.38-rc7-ipset x86_64 # iptables -V iptables v1.4.8 # ipset -V ipset v6.0, protocol version: 6 -- Best regards Rubik Andrey email: tirnota...@gmail.com GPGKey: 1024D / 2EA8E207 2010-03-01 7E60 4450 CD90 6E2D E949 6254 7FDC 5F5C 2EA8 E207 signature.asc Description: This is a digitally signed message part
