---

Jeg har et problem med at lukke for nogle porte fo nogle ip hvordan gør jeg,
jeg har prøvet med

ipchains -A -p TCP -s 0/0 -d 0/0 nntp -j DENY
ipchains -A -p TCP -s 192.168.2.4/32 -d 0/0 nntp -j ACCEPT

men computeren med ip 192.168.2.4 kan heller ikke bruge news serverne hvad
gør jeg forkert

MVH

Lars Jensen

---

PowerCom wrote:
>
> ipchains -A -p TCP -s 0/0 -d 0/0 nntp -j DENY
> ipchains -A -p TCP -s 192.168.2.4/32 -d 0/0 nntp -j ACCEPT
>
> men computeren med ip 192.168.2.4 kan heller ikke bruge news serverne hvad
> gør jeg forkert
>
kan det være at du mangler en regel til client ports? så den rent
faktisk connecter til nntp serveren men nntp server kan ikke svare ?

men du er nok nødt til at fortælle lidt mere .. feks. har du sat default
regel for output til accept eller drop? eller om du har nogen andre
regler som ødelægger det for dig.

/Kim

---

output er sat til accpet
men hvis jeg sletter ipchains -A -p TCP -s 0/0 -d 0/0 nntp -j DENY
så kan alle maskinerne komme på news serveren med er er ikke meningen at
alle skal kunne bruge den samt der er nogle andre porte der skal lukkes for
nogen bruger da de ikke kan finde ud af at arbjede, jeg kan godt lukke for
porten med hvordan åbner jeg den for nogen af de interne ip

MVH

Lars Jensen

"Kim Nielsen" <knielsen@proventum-solutions.net> skrev i en meddelelse
news:3B80EA6E.64EE1223@proventum-solutions.net...
> PowerCom wrote:
> >
> > ipchains -A -p TCP -s 0/0 -d 0/0 nntp -j DENY
> > ipchains -A -p TCP -s 192.168.2.4/32 -d 0/0 nntp -j ACCEPT
> >
> > men computeren med ip 192.168.2.4 kan heller ikke bruge news serverne
hvad
> > gør jeg forkert
> >
> kan det være at du mangler en regel til client ports? så den rent
> faktisk connecter til nntp serveren men nntp server kan ikke svare ?
>
> men du er nok nødt til at fortælle lidt mere .. feks. har du sat default
> regel for output til accept eller drop? eller om du har nogen andre
> regler som ødelægger det for dig.
>
> /Kim

---

PowerCom wrote:

> Jeg har et problem med at lukke for nogle porte fo nogle ip hvordan gør
> jeg, jeg har prøvet med
>
> ipchains -A -p TCP -s 0/0 -d 0/0 nntp -j DENY
> ipchains -A -p TCP -s 192.168.2.4/32 -d 0/0 nntp -j ACCEPT
>
> men computeren med ip 192.168.2.4 kan heller ikke bruge news serverne hvad
> gør jeg forkert

Reglerne står i den forkerte rækkefølge. Byt dem om, så skulle det virke.

-Claus

---

Jeg har prøvet at bytte dem om men computerne med ip 192.168.2.4 kan stadig
ikke få kontakt med news serveren

MVH

Lars Jensen

"Claus Rasmussen" <clr@cc-consult.dk> skrev i en meddelelse
news:3b80ef92$0$263$ba624c82@nntp01.dk.telia.net...
> PowerCom wrote:
>
> > Jeg har et problem med at lukke for nogle porte fo nogle ip hvordan gør
> > jeg, jeg har prøvet med
> >
> > ipchains -A -p TCP -s 0/0 -d 0/0 nntp -j DENY
> > ipchains -A -p TCP -s 192.168.2.4/32 -d 0/0 nntp -j ACCEPT
> >
> > men computeren med ip 192.168.2.4 kan heller ikke bruge news serverne
hvad
> > gør jeg forkert
>
> Reglerne står i den forkerte rækkefølge. Byt dem om, så skulle det virke.
>
> -Claus
>

---

"PowerCom" <PowerCom@anarchy.dk> wrote:

>ipchains -A -p TCP -s 0/0 -d 0/0 nntp -j DENY
>ipchains -A -p TCP -s 192.168.2.4/32 -d 0/0 nntp -j ACCEPT

Du mangler at angive en kæde, som reglen skal puttes i. Normalt vil
man putte den slags regler i kæden "input".

Har du prøvet at skrive tcp med lille?
Det gør jeg normalt selv, men jeg skal ærligt indrømme, at jeg aldrig
har testet, om det gør nogen forskel.

Derudover er det korrekt, at de to skal byttes rundt. Ipchains tester
reglerne oppefra og ned, og den stopper, når pakken rammer en specifik
regel, der siger ACCEPT, DENY eller REJECT.

Dermed ser det således ud:
ipchains -A input -p tcp -s 192.168.2.4/32 -d 0/0 nntp -j ACCEPT
ipchains -A input -p tcp -s 0/0 -d 0/0 nntp -j DENY

Alternativt kan du erstatte den første regel med en default policy,
som deny'er alt: 'ipchains -P input', og derefter lave specifikke
regler med alt det, der skal have lov at slippe igennem. Men det er en
lidt mere omfattende øvelse. Se evt. www.sslug.dk/sikkerhed/, hvor du
nærmest får det serveret på et sølvfad.


Du må i øvrigt gerne skrive under det, du svarer på, og klippe det
væk, du ikke svarer på.

--
Allan Olesen, Lunderskov

---

"Allan Olesen" <aolesen@post3.tele.dk> skrev i en meddelelse
news:3b81a08f$0$76994$edfadb0f@dspool01.news.tele.dk...
> "PowerCom" <PowerCom@anarchy.dk> wrote:
>
> >ipchains -A -p TCP -s 0/0 -d 0/0 nntp -j DENY
> >ipchains -A -p TCP -s 192.168.2.4/32 -d 0/0 nntp -j ACCEPT
>
> Du mangler at angive en kæde, som reglen skal puttes i. Normalt vil
> man putte den slags regler i kæden "input".
>
ok jeg havde glemt at krive de men kæden ser såden ud det er outputtet jeg
ikke vil have andet in fra 5 forskælige ip dette er den en af dem men jeg
kan ikke få firewallen til at sende parkerne fra de ip

ipchains -A output -p TCP -s 0/0 -d 0/0 nntp -j DENY
ipchains -A output -p TCP -s 192.168.2.4/32 -d 0/0 nntp -j ACCEPT

> Har du prøvet at skrive tcp med lille?
> Det gør jeg normalt selv, men jeg skal ærligt indrømme, at jeg aldrig
> har testet, om det gør nogen forskel.
jeg har prøvet ingen virkning :(
>
> Derudover er det korrekt, at de to skal byttes rundt. Ipchains tester
> reglerne oppefra og ned, og den stopper, når pakken rammer en specifik
> regel, der siger ACCEPT, DENY eller REJECT.
det har jeg også prøvet men kunne heller ikke få det til at virke

MVH

Lars Jensen

---

"PowerCom" <PowerCom@anarchy.dk> wrote:

>ok jeg havde glemt at krive de men kæden ser såden ud det er outputtet jeg
>ikke vil have andet in fra 5 forskælige ip dette er den en af dem men jeg
>kan ikke få firewallen til at sende parkerne fra de ip
>
>ipchains -A output -p TCP -s 0/0 -d 0/0 nntp -j DENY
>ipchains -A output -p TCP -s 192.168.2.4/32 -d 0/0 nntp -j ACCEPT

Har du nogen speciel hensigt med at filtrere på input i stedet for
output? Hvis du filtrerer på input, kommer pakken ikke så langt, før
den bliver afvist, og det burde i det mindste spare lidt
processorkraft, og måske også give lidt mere sikkerhed.

Jeg spekulerer på, om der skal byttes rundt på -s og -d, hvis du
filtrerer på output.


--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer

---

Allan Olesen wrote:

> "PowerCom" <PowerCom@anarchy.dk> wrote:
>
>>ok jeg havde glemt at krive de men kæden ser såden ud det er outputtet jeg
>>ikke vil have andet in fra 5 forskælige ip dette er den en af dem men jeg
>>kan ikke få firewallen til at sende parkerne fra de ip
>>
>>ipchains -A output -p TCP -s 0/0 -d 0/0 nntp -j DENY
>>ipchains -A output -p TCP -s 192.168.2.4/32 -d 0/0 nntp -j ACCEPT

Du _skal_ bytte de to regler rundt. Du har sikkert to problemer, hvoraf
det ene er, at reglerne står i den forkerte rækkefølge. Men hvis du bare
bytter reglerne rundt; konstanterer at det ikke virker og så bytter dem
tilbage igen, er du ikke kommet nogen vegne.

_Når_ du har byttet dem rundt, tilføjer du logging til dem (-l). Så kan
du se i /var/log/messages, om det overhovedet er firewallen, der er
problemet.

Desuden vil jeg foreslå dig at prøve at skifte væk fra symbolske navne
på protokollen (hvis der er ged i /etc/services, dur dine regler ikke)
og at skrive tcp med småt, som Allan også foreslår. Altså:

ipchains -A output -p tcp -s 192.168.2.4/32 -d 0/0 -l -j ACCEPT 119
ipchains -A output -p tcp -s 0/0 -d 0/0 -l -j DENY 119



Noget helt andet er: Det er EMM ikke så smart at filtrere på IP,
når ip-adressen er et 192.168.*.* netværk. En maskine på dit ydre
netværk kan SVJV uden videre skifte til en sådan adresse og derefter
ryge lige igennem din firewall.

Jeg bruger filtrering på netkort i stedet. F.eks:

#
# Block external named connection (53) (log)
#
ipchains -A input -p tcp -i eth1 -d 0/0 -l -j DENY 53
ipchains -A input -p udp -i eth1 -d 0/0 -l -j DENY 53

....hvis dit ydre netkort er eth1.

-Claus

---

> Du _skal_ bytte de to regler rundt. Du har sikkert to problemer, hvoraf
> det ene er, at reglerne står i den forkerte rækkefølge. Men hvis du bare
> bytter reglerne rundt; konstanterer at det ikke virker og så bytter dem
> tilbage igen, er du ikke kommet nogen vegne.

Jeg har prøvet at bytte dem runt men så kan alle på nettet 192.168.2.* bruge
port 119

---

PowerCom wrote:

> Jeg har prøvet at bytte dem runt men så kan alle på nettet 192.168.2.*
> bruge port 119

Nej. Kig her:

> ipchains -A output -p tcp -s 192.168.2.4/32 -d 0/0 -l -j ACCEPT 119

Denne regel siger, at hvis afsender ip-adressen er _præcist_ ("/32")
lig med 192.168.2.4, så kan den sende sine request til alle desti-
nationsadresser.

Det betyder omvendt, at hvis adressen ikke er lig med 192.168.2.4, så
går den videre til den næste regel:

> ipchains -A output -p tcp -s 0/0 -d 0/0 -l -j DENY 119

Den regel siger, at uanset hvilken ip-adresse pakken kommer fra, så
bliver den deny'et.

Skal jeg i øvrigt forstå dit svar, som at du har fået hul igennem ?

-Claus

---

> Skal jeg i øvrigt forstå dit svar, som at du har fået hul igennem ?
ja når jeg skriver det sådan kan en computer med computer med ip
192.168.2.102 også komme på det er det jeg ikke kan forstå og jeg kan ikke
finde nogen fejl i min ipchains, men det gør ikke noget jeg skifter nok til
redhat 7.1 og laver en ny i iptables

MVH

Lars Jensen

---

PowerCom wrote:

>> Skal jeg i øvrigt forstå dit svar, som at du har fået hul igennem ?
> ja når jeg skriver det sådan kan en computer med computer med ip
> 192.168.2.102 også komme på det er det jeg ikke kan forstå og jeg kan ikke
> finde nogen fejl i min ipchains, men det gør ikke noget jeg skifter nok
> til redhat 7.1 og laver en ny i iptables

Du har husker af flushe dine ipchains før du danner nye ? Ellers prøv
at skifte til at filtrere på input chain i stedet. Det er det normale.

-Claus