[ LUGOS ] ipchains

MadDave maddave na spider.y0u.net
Pon Okt 18 13:32:43 CEST 1999


Se0s !!

On Mon, 18 Oct 1999, Branko F. [UNKNOWN] Gra=E8ner wrote:

> > ipchains -A input -p TCP -s 193.2.111.230/5 21 -j ACCEPT
> > ipchains -A input -p TCP -s 0.0.0.0/0 21 -j DENY
Ti z ipchainsom nastavlas pravila... -A pomeni dodaj, input pa da ti
dodajas pravila v verigo, ki je zadolzena za vstop paketov v masino.=20

-p Pomeni za kateri protokol nastavlas pravila..., -s pomeni iz katerega
IPja prihaja paket, -j pa kaj naj z njim stori...pol pa mas se -i, ki ti
pove na katerem interfacu naj ti to pravilo velja..ce ni nic pomeni na
vsem....

torej...to kar si ti naredil:

> > ipchains -A input -p TCP -s 193.2.111.230/5 21 -j ACCEPT
> > ipchains -A input -p TCP -s 0.0.0.0/0 21 -j DENY

prva vrstica doda pravilo v input chain, ki velja na vseh interfacih, je
za protokol TCP ki dovoljuje vse pakete na portu 21 ki imajo source adress
193.2.111.230 in neki cudni in neki cudni netmask..

kako bi to moralo izgledati:=20

ipchains -A input -p TCP -s 193.2.111.230/255.255.255.0 -d <TvojIp>/255.255=
=2E255.255 21 -j ACCEPT
ipchians -A input -p TCP -s any/0 -d <TvojIp>/255.255.255.255 21 -j DENY

<TvojIp>=3DIp na tistem interfacu za katerega naj velja to pravilo..

Torej ... prva vrstica ti nastavi pravilo, da vse ki so v tem subnetu
193.2.111.xxx se lahko ftpjajo na to masino, in sicer na mrezno karto, ki
ima <TvojIp>....

Druga vrstica pa ti nastavi pravilo, da se od koderkoli ne gre ftpjat na
mrezno karto z ipjem: <MojIp>...

Iz tega sledi zakljucek, da more boto <MojIp> v prvi vrstici drugacen kot
pa v drugi vrstici...

>=20
> tole ma zanimive u=E8inke ..:) imam eth0 in eth1. prva je na enem subnetu
> druga pa spet na svojem. med njima je postavljen masq. zdaj bi pa rad, da=
 bi
> nekateri daemoni bili dosegljivi samo preko ene mre=BEe (recimo eth1). po=
tem,
> ko sem te ukaze izvr=B9il (seveda sem spremenil netmask pa to), je bila s=
cena
> takale :
>=20
> iz eth0 nisem moral dostopati do tistega porta, ki sem ga prej
> zafirewallal... ok, to je vredu. tudi nisem mogel do porta, ki naj bi se
> odprl na eth1. super ... potem sem se priklopil na drug ra=E8unalnik, ki =
je pa
> na isti mre=BEi kot je eth1... od tam sem se pa brez problema priklopu na=
 prej
> kao zafirewallani port...
>=20
> hm, nekaj tle ne =B9tima... kak=B9na ideja?
>=20
> Brane
>=20
>=20

lp, MadDave




Dodatne informacije o seznamu Starilist