Iptables банит тех, кто в белом списке. Как исправить?

Question

[CeBePHblY]

в whitelist находятся ip, нужно запретить доступ всем, КРОМЕ тех кто в whitelist
пишу так:

sudo iptables -A INPUT -m set ! --match-set whitelist src -j DROP

правило обрабатывается без ошибок, но оно банит наоборот, всех КТО в whitelist
пробовал ставить ! перед white list - правило выдает ошибку

Comments

[Влад Животнев]

Тебе ж уже ответили, зачем призываешь?

Answer 1

[littleguga]

Если вы хотите запретить всё, кроме whitelist, то сначала
DROP ALL
А потом iptables -A INPUT -m set ! --match-set whitelist src -j ACCEPT

А то что вы делаете сейчас - запрещаете доступ тем, кто в whitelist(так как команда в конце DROP)

Посмотрите/погуглите мануалы на эту тему(первые 3 ссылки в гугле по: iptables allow only whitelist)

Comments

[CeBePHblY]

sudo iptables -A INPUT -j DROP
sudo iptables -A INPUT -m set --match-set whitelist src -j ACCEPT
так? но так тоже не работает, банит сразу всех

[Юрий Чудновский]

CeBePHblY: Сначала таки нужно всех нужных разрешить, а потом уже ненужных дропать, так как порядок применения правил линеен, и если пакет попадает под первое правило, то следующее правило уже не проверяется.

[CeBePHblY]

Юрий Чудновский: если DROP поставить ниже ACCEPT, то всё равно все дропаются, даже те кто в списке

[littleguga]

Юрий Чудновский: CeBePHblY: serverfault.com/questions/30026/whitelist-allowed-...

[littleguga]

CeBePHblY: Юрий Чудновский: unix.stackexchange.com/questions/145929/how-to-ens...

[littleguga]

CeBePHblY: https://www.digitalocean.com/community/tutorials/h...

Answer 2

[1001001]

-j ACCEPT наверно, если хотите разрешить а не запретить

Comments

[CeBePHblY]

просто как я понял "!" означает НЕ, то есть должно отрабатывать так - если ip НЕ в whitelist, то DROP

Answer 3

[Олег Баталов]

iptables -A INPUT -m set --set whitelist src -j ACCEPT
iptables -A INPUT -j REJECT

не надо использовать "!"