iptables umgekehrte Subnetmaske

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
wanne
Moderator
Beiträge: 7652
Registriert: 24.05.2010 12:39:42

iptables umgekehrte Subnetmaske

Beitrag von wanne » 29.04.2022 17:26:59

Ich habe ein relativ systematisches Netzwerk:
~ 30 Subnetze von denen jedes mal die letzten 10 Adressen erreichbar sein sollen.
Das problem lässt sich mit ner Whitelist von 300 iptables-Eintägen lösenn.ist dann aber sehr unübersichtlich.
Ich würde gerne einfach auf den Host-Teil der IP-Adresse filtern.
PPrinzipiell kann man das mit --32u. Das versteht dann aber kein Mensch.
Gitb es eine andere Variante?
rot: Moderator wanne spricht, default: User wanne spricht.
Nach oben
Benutzeravatar
MSfree
Beiträge: 11762
Registriert: 25.09.2007 19:59:30

Re: iptables umgekehrte Subnetmaske

Beitrag von MSfree » 29.04.2022 17:37:32

wanne hat geschrieben: ↑ zum Beitrag ↑
29.04.2022 17:26:59
Gitb es eine andere Variante?
https://linux.die.net/man/8/iptables

[!]--src-range ip-ip
Match source IP in the specified range.
[!]--dst-range ip-ip
Match destination IP in the specified range.
Nach oben
eggy
Beiträge: 3334
Registriert: 10.05.2008 11:23:50

Re: iptables umgekehrte Subnetmaske

Beitrag von eggy » 29.04.2022 17:53:48

wanne hat geschrieben: ↑ zum Beitrag ↑
29.04.2022 17:26:59
 Das versteht dann aber kein Mensch.
Muss er doch auch gar nicht, solange iptables damit klarkommt, reicht das doch :mrgreen:

Spass beiseite, schreib nen ausführlichen Kommentar in das benutzte Regelwerk, was das tut und warum das so sein muss, und dass man sich bei Fragen lieber direkt an Dich wenden soll statt, planlos drin rumzufuhrwerken.
Falls dann jemand außer Dir an den Regeln rumbastelt, wird er da ja wohl reinsehen und bei Dir nachfragen kommen.

Nicht vergessen, je kürzer der Regelsatz desto weniger schlimm das Delay.
Nach oben
wanne
Moderator
Beiträge: 7652
Registriert: 24.05.2010 12:39:42

Re: iptables umgekehrte Subnetmaske

Beitrag von wanne » 09.05.2022 18:07:23

MSfree hat geschrieben: ↑ zum Beitrag ↑
29.04.2022 17:37:32
 [!]--src-range ip-ip
Match source IP in the specified range.
[!]--dst-range ip-ip
Match destination IP in the specified range.
Das Problem ist, dass geht anders heurm:
192.168/16 geht üt 192.168.x.y. Aber für x.y.z.254 gibt es kein Macher.

Nicht vergessen, je kürzer der Regelsatz desto weniger schlimm das Delay.
Nicht vergessen Wenn jemand was kaputt bastelt weil ich im Urlaub bin ist das delay mitunter tage statt Millisekunden....
Ich habe jetzt das nftables:

Code: Alles auswählen

chain quobyte {
                @nh,120,8 >= 245 accept comment "storm nodes get IPs greater than x.y.z.245 broadcast included"
                @nh,152,8 >= 245 accept comment "storm nodes get IPs greater than x.y.z.245"
                reject
        }
Ob das jetzt schöner wie die IP-Tables variante ist, sei mal dahin gestellt. Aber es kannals ingress INPUT und FORWARD kombinieren.
rot: Moderator wanne spricht, default: User wanne spricht.
Nach oben
Antworten

Zurück zu „Netzwerk“