O regula de baza in creearea de reguli cu ipchains sau iptables este sa dai reject la toate porturile si pe urma accept la porturile de care ai nevoie. Daca esti la inceput nu trebuie sa reinventezi roata,poti folosi diferite scripturi de firewall care te ajuta sa te baricadezi mai bine. Nimeni nu e idiot,experienta face diferenta.
----- Original Message ----- From: "Bogdan Agapie" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Saturday, December 20, 2003 11:12 PM Subject: [rlug] [newbie] oprire de porturi cu mascarada pe ipchains > Oameni bun, am ajuns la concluzia ca-s un idiot. > > Am citit si (zic eu) inteles manualul de la ipchains. Am priceput suficient > ca sa fac o mascarada doar pentru citeva calculatoare de pe reteaua locala. > Am blocat perechea de MAC / IP cu ajutorul lui arp -s -f /etc/ethers, facut > initial de arpwatch. Am completat ethers-urile cu MAC-uri fictive pentru a > evita auto-alocarea de alte IP-uri si eventual spartul serverului si cine > stie ce se poate face dupa aia. Sint paranoic, asa e, dar stiu atit de > putine incit e usor sa-mi imaginez ca se poate orice... > > Si totusi vreau sa limitez niste porturi, acolo, pe server. Si nu pot. > > Sa zicem ca unul de pe reteaua interna cere date pe portul 99999 (e numar > scornit, nu reprezinta portul real) si vreau sa blochez. > > Cum anume fac? > > Eu am incercat in felul urmator: > > ipchains -A output -p tcp -s 0/0 99999 -j REJECT > > si n-a mers. > > Am mai incercat sa pun regula pe input, si fara nici o logica, am incercat > sa schimb portul pe destinatie, si nu pe sursa. Nici o combinatie nu avea > rezultatul dorit; traficul era nestingherit pe portul 99999. Am incercat si > cu DROP. Tot nimic. > > Mascarada e facuta simplu: > > ipchains -A forward -i $placa_de_retea_externa -s $ip_client_intern/32 -j > MASQ > > Output si input au policy default ACCEPT. Forward are policy default DENY. > > Nici nu stiu ce naiba sa caut ca sa aflu un raspuns direct la problema. > > Multumesc mult pentru ajutor. > Bogdan > > > --- > Detalii despre listele noastre de mail: http://www.lug.ro/ > > --- Detalii despre listele noastre de mail: http://www.lug.ro/
