В Вск, 13/03/2011 в 17:09 +0300, Stanislav Maslovski пишет: > On Sun, Mar 13, 2011 at 03:56:09PM +0300, Rubik Andrey wrote: > > В Вск, 13/03/2011 в 15:39 +0300, Alex Kuklin пишет: > > > Непонятно пока, я ipset не использовал. > > > А как выглядит правило, если посмотреть iptables-save? > > > Может, переформулировать его так, как оно хранится "унутре"? > > > > Не помогло :( > > > > # iptables-save > > # Generated by iptables-save v1.4.8 on Sun Mar 13 15:52:15 2011 > > *filter > > :INPUT ACCEPT [48083:31352536] > > :FORWARD ACCEPT [0:0] > > :OUTPUT ACCEPT [33361:4436871] > > -A INPUT -p tcp -m tcp --dport 80 -m set --match-set ddos src -j DROP > > COMMIT > > > > Попробовал его удалить: > > > > iptables -D INPUT -p tcp -m tcp --dport 80 -m set --match-set ddos src > > -j DROP > > iptables: Bad rule (does a matching rule exist in that chain?). > > Оно и по номеру не удаляется? > (iptables --line-numbers -L; iptables [-t <table>] -D <chain> <rulenum>) > > -- > Stanislav > >
По номеру удалить получается, спасибо :) Но дело в том, что эти правила могут меняться с течением времени (fail2ban). Вообщем-то, можно было бы написать скрипт, который, используя описанные Вами команды, парсит вывод для определения номера искомого правила, а потом и удаляет правило с этим номером. Однако я так и не понял, почему мой способ не работает... особенно тот факт что он частично не работает (ведь правила без ipset система удаляет). Кстати, если это важно: # uname -mr 2.6.38-rc7-ipset x86_64 # iptables -V iptables v1.4.8 # ipset -V ipset v6.0, protocol version: 6 -- Best regards Rubik Andrey email: tirnota...@gmail.com GPGKey: 1024D / 2EA8E207 2010-03-01 7E60 4450 CD90 6E2D E949 6254 7FDC 5F5C 2EA8 E207
signature.asc
Description: This is a digitally signed message part