Kandu.dk - Problemer med min firewall (iptabels/ipchains)


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

Problemer med min firewall (iptabels/ipcha~
Fra : Hans Nielsen

Dato : 12-06-03 22:56

Hey sidder og prøver at få min firewall på min linux server til at ville
det samme som mig, men kan ikke helt finde ud af det.
Håber der er nogen som kan komme med en ide eller et hint.

Problemet: Problemmet er at jeg vil filtrere ALT trafik fra min server,
pånær det som jeg gerne vil have ind, lyder lidt underligt.
men altså: fx vil jeg gerne ha trafik ind på port 21,22,80 osv.
men vil ha der er lukket for ALT andet.

Min ide: Der for har jeg så prøvet at gøre som følger, men kan ikke få lov
at definere en enkelt port nummer.

$ iptables -A INPUT -p all -j DROP -s 0/0 -d 192.168.1.2
$ iptables -A INPUT -p all -j ACCEPT -s0/0 -d 192.168.1.2 21

men her kommer den så med en fejlog siger "Bad argument '80' Try 'iptables
-h' or 'iptables --help' for more information"

Nogen der har et forslag ville jeg blive meget glad, også hvis i har en
anden måde måske mere korekt at gøre dette på.
Evt. også lidt om hvordan jeg får det gjort permanet på mit system, så det
bliver genskabt efter reboot, men der til har jeg også mine ide'er nemlig
og smide de komandoere ind i et shell scrip, som så køres under boot.

På forhånd tak...

- Hans Nielsen -

Jesper Dybdal (12-06-2003)

Kommentar
Fra : Jesper Dybdal

Dato : 12-06-03 23:50

Hans Nielsen <raver@mail.dk> wrote:

> $ iptables -A INPUT -p all -j DROP -s 0/0 -d 192.168.1.2
> $ iptables -A INPUT -p all -j ACCEPT -s0/0 -d 192.168.1.2 21

Det ligner da at du giver parametre med ipchains-syntax til iptables -
der dur naturligvis ikke. Desuden kommer der jo aldrig nogen pakker
igennem når du dropper alle pakker før du kigger på deres indhold.

Prøv noget i stil med:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

Den første regel accepterer pakker for eksisterende forbindelser og
relaterede forbindelser - fx de dataforbindelser som er relateret til
din ftp-servers kontrolforbindelser på port 21, samt icmp-pakker
relateret til eksisterende forbindelser. (Den ftp-understøttelse
kræver vist forresten at du har et særligt modul loadet i kernen.)

Den anden accepterer nye forbindelser ind til port 21.
Den tredje accepterer nye forbindelser ind til port 80.

Den sidste dropper alt andet.

I øvrigt kan jeg anbefale at du læser HowTo'en omhyggeligt. Det hele
er meget nemmere hvis man investerer nogle kræfter i at forstå hvad
der foregår før man skriver sine scripts.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

Søg

Reklame

Statistik

Spørgsmål :	177548
Tips :	31968
Nyheder :	719565
Indlæg :	6408803
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste