Re: [ LUGOS ] ipchains

Mon, 18 Oct 1999 06:48:41 -0700 

Se0s !!

On Mon, 18 Oct 1999, Branko F. [UNKNOWN] Gračner wrote:

> > ipchains -A input -p TCP -s 193.2.111.230/5 21 -j ACCEPT
> > ipchains -A input -p TCP -s 0.0.0.0/0 21 -j DENY
Ti z ipchainsom nastavlas pravila... -A pomeni dodaj, input pa da ti
dodajas pravila v verigo, ki je zadolzena za vstop paketov v masino. 

-p Pomeni za kateri protokol nastavlas pravila..., -s pomeni iz katerega
IPja prihaja paket, -j pa kaj naj z njim stori...pol pa mas se -i, ki ti
pove na katerem interfacu naj ti to pravilo velja..ce ni nic pomeni na
vsem....

torej...to kar si ti naredil:

> > ipchains -A input -p TCP -s 193.2.111.230/5 21 -j ACCEPT
> > ipchains -A input -p TCP -s 0.0.0.0/0 21 -j DENY

prva vrstica doda pravilo v input chain, ki velja na vseh interfacih, je
za protokol TCP ki dovoljuje vse pakete na portu 21 ki imajo source adress
193.2.111.230 in neki cudni in neki cudni netmask..

kako bi to moralo izgledati: 

ipchains -A input -p TCP -s 193.2.111.230/255.255.255.0 -d <TvojIp>/255.255.255.255 21 
-j ACCEPT
ipchians -A input -p TCP -s any/0 -d <TvojIp>/255.255.255.255 21 -j DENY

<TvojIp>=Ip na tistem interfacu za katerega naj velja to pravilo..

Torej ... prva vrstica ti nastavi pravilo, da vse ki so v tem subnetu
193.2.111.xxx se lahko ftpjajo na to masino, in sicer na mrezno karto, ki
ima <TvojIp>....

Druga vrstica pa ti nastavi pravilo, da se od koderkoli ne gre ftpjat na
mrezno karto z ipjem: <MojIp>...

Iz tega sledi zakljucek, da more boto <MojIp> v prvi vrstici drugacen kot
pa v drugi vrstici...

> 
> tole ma zanimive učinke ..:) imam eth0 in eth1. prva je na enem subnetu
> druga pa spet na svojem. med njima je postavljen masq. zdaj bi pa rad, da bi
> nekateri daemoni bili dosegljivi samo preko ene mreže (recimo eth1). potem,
> ko sem te ukaze izvršil (seveda sem spremenil netmask pa to), je bila scena
> takale :
> 
> iz eth0 nisem moral dostopati do tistega porta, ki sem ga prej
> zafirewallal... ok, to je vredu. tudi nisem mogel do porta, ki naj bi se
> odprl na eth1. super ... potem sem se priklopil na drug računalnik, ki je pa
> na isti mreži kot je eth1... od tam sem se pa brez problema priklopu na prej
> kao zafirewallani port...
> 
> hm, nekaj tle ne štima... kakšna ideja?
> 
> Brane
> 
> 

lp, MadDave

Одговори путем е-поште