lonely wolf wrote: > >1. parcurgerea regulilor ipchains, ca si iptables, se opreste la 'first >match'. asa ca intii trebuie sa apara accept-urile si la urma regula >care rejecteaza totul. > > Am zis sa nu va legati de oridine pentru ca am incercat si invers.
>2. verifica daca nu sint blocate conexiunile de vreo alta regula, care >le precede pe cele 2 de mai sus. eventual baga exact inainte de acestea >doua o regula care sa faca logging si vezi daca pachetele ajung >intr-adevar sa le parcurga. > > Tot scriptul care baga regulile este: #! /bin/sh /sbin/ipchains -F /sbin/ipchains -P forward DENY /sbin/ipchains -A forward -i eth1 -j MASQ /sbin/ipchains -A input -p tcp --syn -s 82.79.194.2 -i eth1 -j ACCEPT /sbin/ipchains -A input -p tcp --syn -s 81.196.223.138 -i eth1 -j ACCEPT /sbin/ipchains -A input -p tcp --syn -i eth1 -j DENY >3. vezi daca nu ai vreo regula care sa blocheze si pe output, nu numai >pe input > > Nu am reguli pe output >4. nu e suficient sa dai drumul la pachetele SYN. numai primul pachet >are syn; urmatoarele nu. > > Da dar restul pachetelor nu sunt blocate de nimeni. Daca scot regula de blocare merge. >5. la modul de mai sus nu blochezi decit stabilirea conexiunilor TCP. de >udp nu iti pasa? > Ba da dar ceva mai putin. De UDP discutam mai tirziu. >daca nu, vezi ca netcat stie sa faca si pe UDP tot ceea >ce face pe TCP. si nu e singurul. > > > > Paul --- Detalii despre listele noastre de mail: http://www.lug.ro/
