Nu-i problema sa ma "incui" pe dinafara, serverul e la 3 metri distanta, problema mare e ca NU FUNCTIONEAZA ceea ce mi se parea mie a fi modalitatea normala de a bloca niste porturi.
Hai ca am sa pun niste intrebari mai detaliate (zic eu) ca sa vedeti ce anume exact nu inteleg. 0. Situatia pe care o am eu: eth0 este internul, eth1 este externul; ip rutabil pe eth1, ip de clasa C pe eth0. Am utilizat doar chain-urile default de la ipchains, si anume input, output si forward. Am adaptat rc.firewall care este prezentat in IP Masquerading HOWTO pentru a face masquerading doar pentru anumite IP-uri. Utilizez un RedHat 7.0 cu kernel 2.2.19 (ala l-am gasit, dar daca e vreo problema cu el, pot trece oricind pe 2.2.25; mai mult de 2.2. nu poate rula masina, care-i un 486 cu 16 megi de RAM). 1. Din cite am citit, la ipchains logica e urmatoarea: pachetele vin pe eth1 si intra in chainul input; de acolo sint trecute prin forward si apoi prin output pe eth0. Cind se fac request-uri (sau cum s-or fi chemind, adica atunci cind uzeru face click pe linku din internet explorer) pachetul de la user vine prin input-ul de la eth0, trece prin forward si pleaca mai departe prin output-ul lui eth1. Corect? 2. Nu mi-e foarte clara treaba cu porturile. Deci: eu fac click in browser si browseru trimite un pachet de date care are ca pornire ip-ul meu si un port X, catre ip-ul rezolvat de DNS si portul 80 (presupunind ca e http). Serveru' de departe primeste pe portu' 80 si ip-ul lui pachetu meu si imi trimite raspuns pe portul X si IP-ul meu, iar eu primesc datele in browser, care asculta si el la rindul lui pe portul X. Corect pina aici? 3. Daca-i corect, atunci mi se pare logic ca daca vrei sa blochezi unuia sa acceseze un serviciu care asculta pe-aiurea pe portul Y, blochezi ca la output pe interfata externa (eth1 in cazul meu) sa se trimita vreun pachet pe portul Y. Si atunci uzeru poate sa dea click cit pofteste, ca routeru' da cu pachetul de pamint cum il prinde pe output. Si totusi n-o face. Ce anume n-am inteles eu? 4. Intr-un final, pentru cunostintele mele generale, ce anume face ca browserul sa aleaga portul ala X? sint anumite porturi specializate pentru asta? Ca am cautat in lista de porturi de pe net (am uitat url-ul, dar il am scris pe undeva) si pentru simplu trafic http apar niste porturi fara nici o legatura cu asta. Utilizez tcpdump si iptraf ca sa verific ce se intimpla pe serverul meu. Daca-i vreo problema cu ele, spuneti-mi si mie (adica n-am nevoie de explicatii multe, spuneti-mi doar "e o problema cu ele" si ma apuc sa caut ce anume e) Va rog foarte mult sa-mi raspundeti la obiect. Apreciez comentariile, dar imi dati palpitatii cind trimiteti raspuns, doar pentru a constata ca are un comentariu gen: "da, interesant..." Bogdan --- Detalii despre listele noastre de mail: http://www.lug.ro/
