Hallo, also, ich will alles nach draußen erlauben, aber Zugriff auf meinen ftp-server und sshd haben (port 21 und 22). iptables -N filter iptables -A filter -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A filter -m state --state NEW -i ! ppp0 -j ACCEPT iptables -A filter -m state --state NEW -i ppp0 -p ! ftp,ssh -j DROP iptables -A filter -m state --state NEW -i ppp0 -p tcp,ftp --dport 21 -j ACCEPT iptables -A filter -m state --state NEW -i ppp0 -p tcp,ssh --dport 22 -j ACCEPT iptables -A INPUT -j filter iptables -A FORWARD -j DROP iptables -A OUTPUT -j ACCEPT Die o.g. Regeln müßten doch FORWARD und INPUT verbieten, Outgoing traffic führt zu Regel filter. Dort werden zuerste alle bestehenden und related connection acceptiert, ebenso alles was nicht über ppp0 läuft (Falls ich mir noch ein internes Netz aufbaue). Ich denke, soweit dürfte alles ok sein. Aber jetzt. iptables -A filter -m state --state NEW -i ppp0 -p ! ftp,ssh -j DROP Das soll beim Incoming traffic alles droppen, was nichts mit ftp und ssh zu tun hat. Folgendes soll dann wiederum ftp und ssh auf den angegebenen Ports erlauben. -p tcp muß ich angeben, da sonst wohl die dport-Option nicht acceptiert wird. Richtig so? iptables -A filter -m state --state NEW -i ppp0 -p tcp,ftp --dport 21 -j ACCEPT iptables -A filter -m state --state NEW -i ppp0 -p tcp,ssh --dport 22 -j ACCEPT Sofern daß nicht zu falsch war, noch ein letztes Problem, irc. Da kommen doch auch directe connections beim DCC send/receive zustande. Wie erlaube ich das? Am besten auch nur auf bestimmten Ports, die ich per xchat freigebe, oder? Ist es von Vorteil, dafür einen proxy aufzusetzen? Hmm, dann sind da noch Beispiele für Security: iptables -N filter2 iptables -A filter2 -p tcp --syn -m limit --limit 1/s -j ACCEPT iptables -A filter2 -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT iptables -A filter2 -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT iptables -A FORWARD -j filter2 Also doch nicht FORWARD komplett dichtmachen? Ich verstehe das jetzt so, daß ich FORWARD brauche, um Dienste wie tcp zu nutzen? So, dann hoffe ich mal, daß ich nicht totalen Murks zusammengeschrieben habe... Gruß Uli P.S.: So ganz steige ich da (noch) nicht durch! -- ----------------------------------------------------------- Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Subject "unsubscribe <deine_email_adresse>" enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] ----------------------------------------------------------- 674 eingetragene Mitglieder in dieser Liste.
