----- Original Message ----- From: "Stoicescu, Mircea" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Monday, December 22, 2003 1:52 PM Subject: [rlug] Re: [newbie] oprire de porturi cu mascarada pe ipchain s
> In ce ordine ai bagat regulile ? > 1.Nu cumva ai dat intai -j MASQ si abia dupa aia > > ipchains -A output -p tcp -s 0/0 99999 -j REJECT > poate ar fi cazul sa pui regula de mai sus, cu -I (insert) in chain-ul > forward. Am sa incerc, imediat cum prind un "tester" din retea de la mine dornic sa ajute la "taiatul cracii de sub picioare" :) Se prea poate sa functioneze, desi nu stiu cu ce l-ar ajuta sa fie in forward. Daca pachetul trece de la uzer -> input -> forward -> output si la output e respins, ce rost ar avea sa-l pun in forward? Nu cred ca se pune problema supraincarcarii tabelei de masquerading, pentru ca fiind REJECT, banuiesc ca clientul primeste raspunsul ca nu exista site-ul sau ceva in genul asta. Si se cuminteste. > tu esti sigur ca requestul aplicatiei tale pleaca DE PE 9999? > Nu cumva 9999 e portul destinatie? > In acest caz ar trebui sa ai si ceva de genul ?d 0/0 9999 in chain-ul ala. Sigur ca NU sint sigur. Ba mai mult, 9999 din exemplul meu era destinatia, intr-adevar, pentru pachetele trimise de clienti. Insa cum nu stiu deloc bine ce anume se intimpla, etapa cu etapa, cu o conexiune TCP/IP, m-am gindit ca daca omor pachetul care vine de la server e cam acelasi lucru cu omoritul pachetului care se duce spre server. Probabil am zis o timpenie acum, pentru ca nu coincid porturile, dar iertati-mi timpenia si, mai mult, CORECTATI-O!!! corecturile sint BINEVENITE! Oricum, am mentionat initial ca am incercat toate 4 variantele: pe chain-ul input, o linie cu "-s 0/0 9999" si una cu "-d 0/0 9999" si pe chain-ul output o linie cu "-s 0/0 9999" si una cu "-d 0/0 9999". Ce n-am incercat a fost sa dau -b, dar mi se pare ca asta e aplicabil doar forward. Nu mai tin minte si n-am consola pe aproape sa trag un man. > Iti recomand > http://www.ibiblio.org/pub/Linux/docs/HOWTO/other-formats/html_single/IPCHAI > NS-HOWTO.html pentru a intelege mai bine mecanismele. Done that, didn't work. Fie n-am eu bazele, fie n-am avut deloc rabdare/IQ ca sa inteleg exact ce-i acolo, fie e felul meu idiot de a fi (trebuie sa stiu toate amanuntele pentru a spune ca intr-adevar am inteles ceva, nu pot sa merg cu aproximari succesive...). Oricum, dintr-un exemplu practic cu date pe care le expusesem ma gindesc ca poate as fi inteles mai multe. [Warning: CRAP following] Observatii mai generale: 1. Credeam ca denumirea listei, "rlug", inseamna Romanian LINUX User Group. Aveam o problema relativ urgenta, am expus-o cu cit mai multe detalii am putut pentru a limita procentul de mesaje aiurea, si... (aproape) nimic. Sau nimic din ce ma asteptam. 2. Exista cumva vreun tabu pe care l-am incalcat eu? Pentru ca nu imi vine sa cred ca (aproape) nimeni nu (mai) stie ce-i aia ipchains. Am periclitat cumva cu intrebarile mele veniturile de mii de dolari ale cunoscatorilor de pe lista? Daca da, imi cer scuze si va rog sa ma anuntati de asta, pentru a anula subscriptia la rlug. 3. Raspuns mai general la urmatorii: fram ursul polar: > eu ma intreb ce se intampla daca dai intai reject la toate porturile si pe urma > accept la porturile de care ai nevoie :) Se intimpla ca ramin inchis pe dinafara. Am incercat-o si n-a mers. Nu trece nimic de prima regula. E si normal... Daca pachetul corespunde regulii 1 si regula zice sa dai de pamint cu el daca se pupa, atunci nu mai exista vreun pachet care sa fie testat daca verifica si regula 2. Virgil Iancu: Multumesc pentru sugestii, nu sint rele, doar ca eu asteptam o rezolvare concreta, un exemplu explicativ sau eventual o explicatie punctuala la problema mea. Site-ul sugerat e putin cam prea mult pentru ce am eu nevoie. Pur si simplu nu-mi iese topicu' comenzii la ipchains. [end CRAP] Bogdan (nu atit de newbie, dar nici prea departe nu-s) --- Detalii despre listele noastre de mail: http://www.lug.ro/
