Получи се :) Благодаря ти Илия.
> From: "Ilia Lindov" <[EMAIL PROTECTED]> > > atlas wrote: > > Здравейте група, > Здравей, > > Имам Linux машина (Slakware v.10), която е вързана към Internet чрез PPP0. > > Освен това има и мрежов адаптер ETH0, чрез който подава Internet към > > вътрешната ми мрежа (192.168.1.0/24). > > Въпроса ми е, как да огранича достъпа до машината през PPP0 да става само > > през конкретен MAC адрес или конкретно IP? Идеята ми е да командвам Linux > > машината през Internet примерно чрез SSH порт 22, но не искам да ограничавам > > по порт (iptables -A INPUT -i ppp0 -p tcp --dport 22 -j DROP) > Въобще каква е връзката между това да управляваш през едикой си порт и > после да ограничаваш... Тук нещо не ми е ясно... искаш да имаш достъп > до компютъра от някой друг компютър от интернет или от локалната мрежа? > Ако е от локалната мрежа може да стане по МАС адрес, но от интернет, > мисля че е възможно да го направиш само по IР, защото МАС адресите си > имат значение само в конкрения мрежов сегмент (даже пък при PPP за какви > МАС адреси става дума?!) > > Според мен можеш да решиш проблема по следния начин: > Ако IP адреса на твоя компютър (който ще управляваш)е 111.222.333.444, а > IР адреса на > компютъра, ОТ който ще го управляващ(конфигурираш) е 555.666.777.888... > > iptables -P INPUT DROP > # пускаш всичко от локалната мрежа > iptables -A INPUT -i eth0 -j ACCEPT > # разрешаваш връзки от интернет само от IР адрес 555.666.777.888 # и > само на порт 22 > iptables -A INPUT -p tcp -i ppp0 -s 555.666.777.888 --dport 22 -j ACCEPT > > Тук трябва да решиш как ще организираш OUTPUT веригата. > Единия вариант, който е най-елементарния и най-несигурния е просто в > началото на скрипта да имаш: > iptables -P OUTPUT ACCEPT > но както споменах този вариант не е особено удачен от глредна точка на > сигурността, защото ако по някакъв начин е компрометирана сигурността на > машината и по някъкъв начин кракер може да изпълнява команди на > машината, то той би могъл много лесно да отвори изходяща връзка от твоя > компютър. > Втория вариант е: > iptables -P OUTPUT DROP > iptables -A OUTPUT -p tcp -o ppp0 -d 555.666.777.888 --sport 22 -j ACCEPT > > Надявам се, че съм разбрал правилно въпроса и съм успял, поне малко, да > помогна! :) Успех! > > Поздрави: Илия Линдов > > > ============================================================================ > A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). > http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora > To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html > ============================================================================ > ============================================================================ A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html ============================================================================
