---

Hejsa ng!

Mit spørgsmål er, om nedenstående (meget) simple firewall ikke burde virke?

Altså sådan at alt indgående trafik bliver spærret, pånær Ssh (fra
192.168.0.50)... det virker bare ikke, jeg kan nemlig slet ikke Ssh'e
maskinen...

Hvad gør jeg forkert?

Mvh. Allan Johansen


iptables -P INPUT DROP

iptables -A INPUT -p tcp --syn -s
192.168.0.50/255.255.255.0 --destination-port 22 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP

---

> Hvad gør jeg forkert?

Prøv med følgende:

> iptables -P INPUT DROP

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
# Evt med en iptables -A INPUT -j LOG hvis du vil se hvem du smider ud
iptables -A INPUT -j DROP

Mvh
Martin
--
Jeg har det med min rumlige frihed som jeg har lagt mærke til at mænd
har det med deres testikler. Jeg vugger den som et spædbarn, og tilbeder
den som en gudinde.
   Smilla Jaspersen

---

Den Tue, 2 Apr 2002 12:04:16 +0200 skrev Allan Johansen:
>Hejsa ng!
>
>Mit spørgsmål er, om nedenstående (meget) simple firewall ikke burde virke?
>
>Altså sådan at alt indgående trafik bliver spærret, pånær Ssh (fra
>192.168.0.50)... det virker bare ikke, jeg kan nemlig slet ikke Ssh'e
>maskinen...
>
>Hvad gør jeg forkert?

Jeg bytter lige rundt på linierne...

>iptables -A INPUT -p tcp --syn -s 192.168.0.50/255.255.255.0 --destination-port 22 -j ACCEPT

Tillad indgående "connect" pakker til port 22, altså den første pakke
i SSH-forbindelsen.

>iptables -A INPUT -p tcp --syn -j DROP

Alle andre connects smides væk.

>iptables -P INPUT DROP

Og alle andre pakker smides væk. Dette inkluderer jfr. ovenstående alle
SSH-pakker, undtagen den første (connect/SYN pakken).

Mvh
Kent
--
Advarsel: ny e-mail adresse - med risiko for at mails går tabt.
Den gamle adresse virker stadig, men bliver primært checket i
arbejdstiden.