Не работают правила в iptables

Question

[hostadmin]

Здравствуйте.

Пытаюсь на веб-сервере (Debian 6) немного ограничить всяких негодяев и для этого хочу использовать iptables.
Ввожу простейшее правило для проверки
iptables -A INPUT -p tcp -s 111.111.111.111 -j DROP
но с этого IP все-равно можно зайти, по команде iptables -nL правило видно.

Перезагружаться пробовал :(

Та же самая команда запущенная на локальном сервере под UBUNTU работает как ожидается — доступа у указанного IP к компьютеру нет.

Answer 1

[simbajoe]

Не ответ ли это на ваш вопрос: stackoverflow.com/questions/16142446/why-cant-i-block-an-ip-address-with-iptables-on-debian-6?

Comments

[hostadmin]

Оно самое! А может подскажите как опустить разрешающие правила?

[simbajoe]

В смысле, опустить?

[simbajoe]

Можно удалить и вставить gr8idea.info/os/tutorials/security/iptables9.html.

Answer 2

[Ilya Evseev]

Вместо "-A" используйте "-I", то есть не добавляйте в конец цепочки, а вставляйте в начало.

Comments

[hostadmin]

Просто как-то странно, везде же приводят пример с -A.

[Николай Турнавиотов]

ну с -A и формируется порядок в цепочке, в общем

[Ilya Evseev]

Обычно -A используют при заполнении с нуля.
При изменении уже существующих цепочек в зависимости от обстоятельств используют и -A, и -I.
В данному случае нужен -I, чтобы вставлять частные запреты до полного разрешения.

Answer 3

[pkv]

Что бы не маяться с -A -I контролирую приоритет правил просто редактируя файл /etc/sysconfig/iptables
Что приоритетнее то выше, что то ниже.
Отредактировал, сохранил, перезапустил