Oameni bun, am ajuns la concluzia ca-s un idiot. Am citit si (zic eu) inteles manualul de la ipchains. Am priceput suficient ca sa fac o mascarada doar pentru citeva calculatoare de pe reteaua locala. Am blocat perechea de MAC / IP cu ajutorul lui arp -s -f /etc/ethers, facut initial de arpwatch. Am completat ethers-urile cu MAC-uri fictive pentru a evita auto-alocarea de alte IP-uri si eventual spartul serverului si cine stie ce se poate face dupa aia. Sint paranoic, asa e, dar stiu atit de putine incit e usor sa-mi imaginez ca se poate orice...
Si totusi vreau sa limitez niste porturi, acolo, pe server. Si nu pot. Sa zicem ca unul de pe reteaua interna cere date pe portul 99999 (e numar scornit, nu reprezinta portul real) si vreau sa blochez. Cum anume fac? Eu am incercat in felul urmator: ipchains -A output -p tcp -s 0/0 99999 -j REJECT si n-a mers. Am mai incercat sa pun regula pe input, si fara nici o logica, am incercat sa schimb portul pe destinatie, si nu pe sursa. Nici o combinatie nu avea rezultatul dorit; traficul era nestingherit pe portul 99999. Am incercat si cu DROP. Tot nimic. Mascarada e facuta simplu: ipchains -A forward -i $placa_de_retea_externa -s $ip_client_intern/32 -j MASQ Output si input au policy default ACCEPT. Forward are policy default DENY. Nici nu stiu ce naiba sa caut ca sa aflu un raspuns direct la problema. Multumesc mult pentru ajutor. Bogdan --- Detalii despre listele noastre de mail: http://www.lug.ro/
