try this... /sbin/ipchains -A input -i eth1 -p tcp -s 82.79.194.2 -j ACCEPT /sbin/ipchains -A input -i eth1 -p tcp -s 81.196.223.138 -j ACCEPT /sbin/iptables -A protect -i eth1 -p tcp -j DROP
de asemenea verifica hosts.allow si hosts.deny Musashi On Sunday 24 October 2004 01:49 am, Paul Lacatus wrote: > lonely wolf wrote: > >1. parcurgerea regulilor ipchains, ca si iptables, se opreste la 'first > >match'. asa ca intii trebuie sa apara accept-urile si la urma regula > >care rejecteaza totul. > > Am zis sa nu va legati de oridine pentru ca am incercat si invers. > > >2. verifica daca nu sint blocate conexiunile de vreo alta regula, care > >le precede pe cele 2 de mai sus. eventual baga exact inainte de acestea > >doua o regula care sa faca logging si vezi daca pachetele ajung > >intr-adevar sa le parcurga. > > Tot scriptul care baga regulile este: > #! /bin/sh > > /sbin/ipchains -F > > /sbin/ipchains -P forward DENY > /sbin/ipchains -A forward -i eth1 -j MASQ > > /sbin/ipchains -A input -p tcp --syn -s 82.79.194.2 -i eth1 -j ACCEPT > /sbin/ipchains -A input -p tcp --syn -s 81.196.223.138 -i eth1 -j ACCEPT > /sbin/ipchains -A input -p tcp --syn -i eth1 -j DENY > > >3. vezi daca nu ai vreo regula care sa blocheze si pe output, nu numai > >pe input > > Nu am reguli pe output > > >4. nu e suficient sa dai drumul la pachetele SYN. numai primul pachet > >are syn; urmatoarele nu. > > Da dar restul pachetelor nu sunt blocate de nimeni. Daca scot regula de > blocare merge. > > >5. la modul de mai sus nu blochezi decit stabilirea conexiunilor TCP. de > >udp nu iti pasa? > > Ba da dar ceva mai putin. De UDP discutam mai tirziu. > > >daca nu, vezi ca netcat stie sa faca si pe UDP tot ceea > >ce face pe TCP. si nu e singurul. > > Paul > > > > --- > Detalii despre listele noastre de mail: http://www.lug.ro/ -- --------------------------------------- Andrei Saygo Mobil: 0744.304.414 E-mail: [EMAIL PROTECTED] [EMAIL PROTECTED] --------------------------------------- --- Detalii despre listele noastre de mail: http://www.lug.ro/
