taticu, daca un pachet face match pe prima regula, nu mai ajunge la a doua. cred ca problema lu neagu e ca ori e destinatia diferita de ce zice el, ori vrea sa iasa de pe alte IP'uri decat cele mentionate in prima.
> > pentru ca in a doua linie ii spui sa dropeze toate ip-urile inafara de .1 ala > este destul, zic eu, /sbin/ipchains -A input -s ! 192.168.100.0/24 -d > xxx.yyy.zzz.qqq > 22 -p tcp -j DENY > ca sa dropezi ip-urile care nu fac parte din reteaua locala(restul avand > acces) > > Camelia Nastase said: > > > > pentru ca dai acces ssh spre o singura destinatie in prima regula. iar a > > doua zice ca orice conexiune ssh cu sursa diferita de xxx.yyy.zzz.1 va fi > > rejectata. da matale la regula a doua si un -j log si urmareste in > > logurile de kernel mesajele. > > > >> > >> Am in fisierul rc.firewall urmatoarele comenzi: > >> > >> /sbin/ipchains -A input -s 192.168.100.0/24 -d xxx.yyy.zzz.qqq 22 -p > >> tcp -j ACCEPT > >> /sbin/ipchains -A input -s ! xxx.yyy.zzz.1 -d xxx.yyy.zzz.qqq > >> 22 -p tcp -j DENY > >> > >> De ce a doua linie opreste accesul cu ssh din reteaua locala ? > >> > >> Neagu > >> > >> > >> > >> --- > >> Detalii despre listele noastre de mail: http://www.lug.ro/ > > -- > > Camelia Nastase > > Administrator Retea Motto: "All you have to do > > Departamentul Internet is want it bad enough" > > ASTRAL TELECOM SA, Sucursala Cluj > > > > > > > > --- > > Detalii despre listele noastre de mail: http://www.lug.ro/ > > > > > > > -- > save the ozone layer > > --- > Detalii despre listele noastre de mail: http://www.lug.ro/ -- Camelia Nastase Administrator Retea Motto: "All you have to do Departamentul Internet is want it bad enough" ASTRAL TELECOM SA, Sucursala Cluj --- Detalii despre listele noastre de mail: http://www.lug.ro/
