Paul Lacatus wrote: > Pe o masina nu vreau sa se deschida conexiuni din exterior decit de la > adresa XXX.YYY.ZZZ.WWW > > /sbin/ipchains -A input -p tcp --syn -i eth1 -j DENY > /sbin/ipchains -A input -p tcp --syn -s XXX.YYY.ZZZ.WWW -i eth1 -j ACCEPT > > Am pus regulile de mai sus. Nimeni nu intra pe masina, nici macar adresa > pe care ar trebui s-o accepte. Ce gresesc ? Nu-mi ziceti de ordinea > reguluilor am incercat si invers ( nu pot tine niciodata minte cum > trebuie si incerc) 1. parcurgerea regulilor ipchains, ca si iptables, se opreste la 'first match'. asa ca intii trebuie sa apara accept-urile si la urma regula care rejecteaza totul. 2. verifica daca nu sint blocate conexiunile de vreo alta regula, care le precede pe cele 2 de mai sus. eventual baga exact inainte de acestea doua o regula care sa faca logging si vezi daca pachetele ajung intr-adevar sa le parcurga. 3. vezi daca nu ai vreo regula care sa blocheze si pe output, nu numai pe input 4. nu e suficient sa dai drumul la pachetele SYN. numai primul pachet are syn; urmatoarele nu. 5. la modul de mai sus nu blochezi decit stabilirea conexiunilor TCP. de udp nu iti pasa? daca nu, vezi ca netcat stie sa faca si pe UDP tot ceea ce face pe TCP. si nu e singurul.
--- Detalii despre listele noastre de mail: http://www.lug.ro/
