iptables CentOS

[Mexx_MT]

Hallo zusammen,

vlt kann mir einen nen Tipp geben.

ich habe iptables so konfiguriert, das er gewisse Adresse (ipranges) Dropped.

zb 1.0.0.0/8

mittels dieses Befehls

-A INPUT --source 1.0.0.0/8 -j DROP

dies sollte ja die IP Range 1.0.0.0 - 1.255.255.255 droppen sollte

Wenn ich iptables -L oder iptables -L -n eingebe taucht die Regel auch auf.

Nun wollte ich das ganze testen mittels diesen Befehls

iptables -L -n --line | grep 1.1.1.234

Doch erhalte ich keine Ausgabe, teste ich hingegen iptables -L -n --line | grep 1.0.0.0

erhalte ich sämtliche IP-Ranges wo diese enthalten ist.

Mache ich den Test falsch sprich ist mein Befehl falsch oder muss ich dies anders testen ?

Ich danke für Eure Unterstützung !

[marce]

Poste doch hier mal die Ausgabe von iptables, ggf. auch die mit dem gepipeten grep.

Dann überleg mal, was grep an Argument entgegen nimmt und "spiel es gedanklich manuell durch".

[Mexx_MT]

iptables -L -n --line | grep 1.0.0.0
17 DROP all -- 1.0.0.0/8 0.0.0.0/0
27 DROP all -- 61.0.0.0/8 0.0.0.0/0
28 DROP all -- 101.0.0.0/8 0.0.0.0/0
31 DROP all -- 110.0.0.0/8 0.0.0.0/0
32 DROP all -- 111.0.0.0/8 0.0.0.0/0
41 DROP all -- 120.0.0.0/8 0.0.0.0/0
42 DROP all -- 121.0.0.0/8 0.0.0.0/0
50 DROP all -- 180.0.0.0/8 0.0.0.0/0
56 DROP all -- 211.0.0.0/8 0.0.0.0/0
60 DROP all -- 221.0.0.0/8 0.0.0.0/0

aso ja stimmt mit grep kann das ja nicht funktionieren, da man damit ja nur nach dem Ausdruck sucht ....

Wie kann ich denn testen ob eine bestimmte IP Adresse auf der gewählten Range geblockt wird oder nicht ?
Gibt es dafür eigentlich eine Testmöglichkeit ?

Bin jetzt nicht so der Held was das anbelangt.

[marce]

Vieleicht hilft Dir sowas weiter: http://www.subnet-calculator.com/

... oder andere Tools, die man so findet :-) - im Endeffekt hast Du ein Subnetz und eine IP und willst schauen, ob die im Netzwerk enhalten ist - je nach Netzwerkdefinition ist das halt mehr oder weniger doofe Bit-Rechnerei.

[nopes]

Ergänzend, falls du echte Tests meinst. Gibt da natürlich viele Möglichkeiten.

Grundsätzlich wirst du aber immer das brauchen. Den Rechner mit iptables, einen Möglichkeit Netzwerk Pakete aus einem der anderen Netze an dein iptables zu schicken. Am "einfachsten" ist es (jedenfalls für micht ) einen Router entsprechend einzurichten und da die Rechner dran zu stecken. Allerdings kannst du es auch mit nur einem Rechner schaffen, dank dem ganzen virtuellen Kram, geht das inzwischen sogar sehr einfach Etwas weniger fett, dürfte aber auch gehen sind virtuelle Netzwerkkarten ala eth0:0.

Dann kannst du dir es wohl noch ein bisschen bequemer machen, Stichwort ist spoofing, hier ein netter Beitrag dazu.

[Mexx_MT]

Ich danke für Eure Meldungen und werde mir dies nun zu Gemühte führen :-)