Iptables ... czemu moge zawdzieczac ..

328.28.00 - 1 Lis 2003, 14:10

witam,
wpisuje sobie regulki do iptables np blokujace okreslony port dla
okreslonego lokalnego hosta

iptables -L

widze regulke, ale nadal uzytkownik na okreslonym porcie moze przesylac
dane. O co chodzi ?

R,

raku - 1 Lis 2003, 15:20

naprawdopodobniej o to, że my tej regułki nie widzimy...

Edi - 1 Lis 2003, 15:27

pewnie rególki te nie blokuja :)

Edi

328.28.00 - 2 Lis 2003, 08:14

[...]

A prosze:

iptables -A INPUT -s host/maska -p tcp -m tcp --dport
od_jakiego_portu:do_jakiego_portu -j REJECT

I co moze byc ?

R,

raku - 2 Lis 2003, 09:00

dalej nie wiadomo, czy dobrze wpisujesz porty, adresy IP itd, bo nie
podałeś dokładnej reguły oraz co dokładnie ma ona blokować (jakie porty,
gdzie one mają być blokowane, komu blokowane itd)

a żeby nie było, że tylko sie czepiam - moja kula mi mówi, że chcesz
klientom zza NAta coś przyblokować i używasz do tego złego łańcucha
(hint - FORWARD)

328.28.00 - 2 Lis 2003, 11:10

[...]

nie, nie traktuje Ciebie za "czepiacza" :)

right probuje z za nata przyblokowac okreslone kolejne porty (i w cale
tutaj nie chodzi o P2P).

iptables -A FORWARD -s 192.168.22.0/30 -p tcp -m tcp --dport 1000:2000
-j REJECT

*) 1000:2000 -ma blokowac porty od 1000 do 2000
    [1000,10001,...1999,2000]

A moze:

iptables -t mangle -A PREROUTING -p tcp -s 192.168.22.0/30 --dport 22 -j
TOS --set-tos 0x10
iptables -t mangle -A OUTPUT -p tcp -s 192.168.22.0/30 --dport 22 -j TOS
--set-tos 0x10

*) port 22 - jest to port przykladowy.

I co bedzie lepsze ????

R,

raku - 2 Lis 2003, 11:40

komu chcesz to przyblokować? (na pewno komputerowm o adresach
192.168.0 - 192.168.0.3?)

czy wcześniej w łańcuchu FORWARD nie ma reguły wpuszczającej ruch?
może parametr -I zamiast -A będzie lepszy?

ghost - 2 Lis 2003, 12:30

chcialem dolaczyc sie do dyskusji. mam zablokowane porty od mldonkeya (gdzie
mam ukatywnione wszystkie podsieci) porty (np.4000,4444,6699, 6346) maja
status filtered (nie open:) ale jak calkowicie je wyciac?? mam tez pytanie
odnosnie skanowania nmapem. co zrobic zeby nie mozna bylo stwierdzic mojego
systemu i od kiedy jest on uruchomiony, o ile da sie to wogole zrobic??

328.28.00 - 2 Lis 2003, 12:38

kolego nie komputerom *.0 - *.3 a jedynie tylko jednemu :P
reszta to brodcast etc etc :P

nic nie ma - empty

Moze - sprobuje

R,

raku - 2 Lis 2003, 17:20

... adres sieci i 2 adresy hostów...

wystarczy że wpiszesz to IP (bez podawania masek), a jeśli już
musisz, to podaj poprawną maskę - /32

a możesz pokazac wynik polecenia iptables -L FORWARD ?

możesz jeszcze spróbować określić interfejs, na którym ma działać
reguła:
-i ethxxx - oznacza że dotyczy pakietów wchodzących do routera przez
interfejs ethxxx

dla pustego łańcucha nie ma znaczenia (chyba że później coś jeszcze
ładujesz do FORWARD)

328.28.00 - 3 Lis 2003, 07:12

[...]

Eh RAKU nic to nie pomoglo.
na iptraf dalej widze jak pomykaja pakiety

R,

raku - 3 Lis 2003, 12:40

podaj dokładnie, jakie reguły wypisujesz, jak wygląda wynik polecenia
iptables -L FORWARD, w jaki sposób robisz NAT. Może z tego cos wyjdzie

328.28.00 - 3 Lis 2003, 17:41

[...]

tak robie jak ustalilismy :)

R,

raku - 3 Lis 2003, 18:40

nie wiem, kto komu tu próbuje pomóc - ja tobie, czy ty mnie...

ale przy takiej współpracy proponuje EOT, bo ja swoje, ty nic

z twoim sposobem opisywania problemu proponuje skierować się do
najbliższej wróżki lub jasnowidza...

328.28.00 - 3 Lis 2003, 20:00

[...]

As You whish, po prostu do niczego to nie prowadzi. wymiana kilkakrotna
postow na temat regulem iptables - a Ty za chwile mnie sie pytasz w jaki
sposob regulki wpisuje. No wybacz.

Ale niezmiernie Ci szczerze dziekuje za pomoc.
No to EOT.

R,