Назад | Перейти на главную страницу

Добавление правила в iptables с IP-адресом назначения, который не разрешается в его домен

Я добавляю это правило в iptables со следующим IP-адресом в качестве пункта назначения:

iptables -A FOR_FILTER -d 66.235.138.59 -j ACCEPT

он успешно добавил его со следующим результатом:

ACCEPT     all  --  anywhere             *.d1.sc.omtrdc.net

Правило, которое я хотел применить к 66.235.138.59, не будет работать из-за этого разрешения DNS. Я хотел бы добавить IP-адрес как есть, чтобы iptables не добавлял разрешенный домен.

что-то вроде этого (но не работает):

iptables -A FOR_FILTER -d "66.235.138.59" -j ACCEPT
iptables -A FOR_FILTER -d '66.235.138.59' -j ACCEPT

Iptables использует IP-адреса внутри, если вы не хотите видеть какие-либо DNS-имена при перечислении правил, используйте iptables -L -n - отключает обратный поиск DNS.

Две вещи на ваш вопрос. Во-первых, как отметили CodePainters, вам нужно использовать -n переключитесь, чтобы увидеть IP-адрес в списке правил iptable.

Во-вторых, iptables обрабатывает правила по порядку. Если какое-то предыдущее правило запрещало соединение, то добавление другого правила (-A добавляет в конец цепочки) не поможет. Вам необходимо проанализировать всю конфигурацию, а не только одно правило.

из справочной страницы:

   -s, --source [!] address[/mask]
          Source specification.  Address can be either a network  name,  a
          hostname  **(please  note  that specifying any name to be resolved
          with a remote query such as DNS is a really bad idea)**,  network
          IP address (with /mask), or a plain IP address.



   -d, --destination [!] address[/mask]
          Destination  specification.   See  the  description  of  the  -s
          (source)  flag  for  a  detailed description of the syntax.



   -n, --numeric
          Numeric  output.   IP addresses and port numbers will be printed
          in numeric format.  By default, the program will try to  display
          them  as host names, network names, or services (whenever appli-
          cable).

При добавлении правил используйте IP-адреса, а не имена. Когда вы перечисляете правила, если вам нужно имя, опустите параметр -n. Чтобы ускорить процесс и убрать шаг поиска ns, добавьте -n к вашему -L.

Вы говорите: «Правило, которое я хотел применить к 66.235.138.59, не будет работать из-за этого разрешения DNS».

Я говорю, DNS тут ни при чем.