Добрый день!

Никак не могу понять логику в соответствии порядка правил iptables и порядка на экране.
Вот реальный пример в веб интерфейсе:
1 Outbound Any IP:Any Port Any IP:Any Port Both Deny
2 Outbound 192.168.1.2:Any Port Any IP:Any Port Both Allow
3 Outbound 192.168.1.3:Any Port Any IP:Any Port Both Allow

а вот результат iptables -n -L FORWARD -t filter
ACCEPT icmp -- 192.168.1.3 0.0.0.0/0
ACCEPT udp -- 192.168.1.3 0.0.0.0/0
ACCEPT tcp -- 192.168.1.3 0.0.0.0/0
DROP icmp -- 0.0.0.0/0 0.0.0.0/0
DROP udp -- 0.0.0.0/0 0.0.0.0/0
DROP tcp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 192.168.1.2 0.0.0.0/0
ACCEPT udp -- 192.168.1.2 0.0.0.0/0
ACCEPT tcp -- 192.168.1.2 0.0.0.0/0

После отключения питания и включения - оба порядка остаются прежними.
Какой логикой руководствоваться при построении правил?

С уважением, Александр.

Правила работают??

_________________
С уважением, Давыдов Денис.

Работают, а толку?
Если они на экране веб морды в одном (нужном мне порядке)
а в правилах iptables модема в другом?
и DROP оказывается в совсем не том месте, в котором нужен.
Вариант как с написанием его первым, так и последним - дает один результат - оно оказывается в середине.

То есть в данном случае они на экране в порядке 1 2 3
а в iptables 3 1 2
и в результате - правило три работает, а правило два - уже нет. потому что перед ним идет перекрывающее его, с запретом.

Все дело в том, каким образом вы активируете правила.
Я делал так:

# iptables -F

Создаем три правила:
1 Outbound Any IP:Any Port Any IP:Any Port Both Deny
2 Outbound 192.168.1.2:Any Port Any IP:Any Port Both Allow
3 Outbound 192.168.1.3:Any Port Any IP:Any Port Both Allow

После этого активируем их по очереди:
первое (ставим галку)
второе
третье

Смотрим, что получилось:
# iptables -n -L FORWARD -t filter
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT icmp -- 192.168.1.3 0.0.0.0/0
ACCEPT udp -- 192.168.1.3 0.0.0.0/0
ACCEPT tcp -- 192.168.1.3 0.0.0.0/0
ACCEPT icmp -- 192.168.1.2 0.0.0.0/0
ACCEPT udp -- 192.168.1.2 0.0.0.0/0
ACCEPT tcp -- 192.168.1.2 0.0.0.0/0
DROP icmp -- 0.0.0.0/0 0.0.0.0/0
DROP udp -- 0.0.0.0/0 0.0.0.0/0
DROP tcp -- 0.0.0.0/0 0.0.0.0/0

после этого трафик от 192.168.1.2/3 наружу пропускается, от всех остальных - нет.

Дело в том, что в WEB интерфейсе правило, активированное первым, будет последним в цепочке правил iptables. Таким образом (в рамках данного примера) запрещающее правило будет последним в цепочке и будет обрабатываться в последнюю очередь.

_________________
С уважением, Давыдов Денис.

То есть получается, что порядок расположения правил на экране, никак не связан с порядком построения их в iptables? и они строятся строго в порядке их активирования?
Логика странная
Но хоть какая-то... это радует, Буду проверять.

Проверил. Действительно так. Правила строятся не в порядке на экране, а в порядке их активирования.

С одной стороны - хорошо. Разобрались.
Но с другой - я же через неделю забуду в каком порядке их нажимал.
Какое-то очень нестандартное решение.

Хотелось-бы видеть на экране именно в том порядке - в котором они и реально применяются.

Просто запомните, что запрещающие правила нужно активировать первыми. Ситуация была бы иной, если бы правила активировались сразу после создания.

_________________
С уважением, Давыдов Денис.

Мдааа, Dlink РЕАЛЬНО объединяет...посредством запутонности управлением настроек.

А ведь в предыдущих прошивках было с этим проще.

_________________
И чтоб когда не состоялся вынос,
За то чтоб Мы Вас, а не Вы Нас!

Ну может на 504 это так и есть, а на G604T, правила активируются сразу и запрещающие правила в любом случае отменяют разрешающие правила(в случае их перекрещивания) в независимости от того когда они бы созданы.Поэтому поможет только тупо разграничить диапазоны разрешённых IP и диапазоны запрещающих или просто диапазоны запрещающих.

....и кто эти прошивки пишет, похоже какой-то программер утром в понедельник с бодуна делая следующую прошивку напрочь забыл по какому принципу кодил предыдущую))))

_________________
И чтоб когда не состоялся вынос,
За то чтоб Мы Вас, а не Вы Нас!

Скажите, пожалуйста, А как их активировать?, ставлю галочки, а они не вступают в действие, правило не работает


_____________________
DSL-500T
Firmware Version : V2.00B01T01.EU.20050614

To Sitron

После активации правила должны начать работать сразу же.
Опишите подробно, каким образом Вы создаете правила.
Попробуйте также сохранить настройки и перезагрузить модем (Tools > System > Save and Reboot).

_________________
С уважением, Давыдов Денис.

Значит модем работает как роутер (в режиме PPPoE) и подключен к неуправляемому ститчу
Включен DHCP Server (192.168.1.2-192.168.1.255)

Захожу в Advanced->Filters
Cоздаю первое правило

Надимаю кнопку "Apply" > появляется

Создаю второе правило

Надимаю кнопку "Apply"

Захожу в закладку Tools > System, нажимаю кнопку "Save and Reboot"
Включаю в сеть второй компьютер, он автоматом получает IP: 192.168.1.3
проверяю интернет, работает
Попробовал создать третье правило

Надимаю кнопку "Apply"

Tools > System, нажимаю кнопку "Save and Reboot"
Проверяю, интернет по прежнему работает на 192.168.1.3

To Sitron

Зачем при создании третьего правила Вы в качестве Destination указываете также 192.168.1.3?
192.168.1.3 должен быть только в Source IP, все остальные поля должны быть Any.

_________________
С уважением, Давыдов Денис.

Да это уже не столь важно, поскольку без третьего должны были действовать первые два.

Сейчас попробовал все таки создать как вы сказали:

И того получилось


И попрежнему не работают правила

_________________
#DSL-500T#DSL-2500U#DIR-320#DNS-313#DCS-2121#DCS-2102#dir-412#DSL-2640#

To Sitron

Я проверю это и напишу Вам о результатах.

_________________
С уважением, Давыдов Денис.