Harald Wolf wrote:
> ich habe ein script gebastelt:
>
> # By default DENY all services
> ipfwadm -F -p deny
> #
zur Sicherheit solltest Du hier nicht nur das Forwarding, sondern
auch Input und Output verbieten:
ipfwadm -I -p deny
ipfwadm -O -p deny
> ipfwadm -F -f
> ipfwadm -I -f
> ipfwadm -O -f
> # RTPC02 freischalten
> # /sbin/ipfwadm -F -a accept -b -S 0.0.0.0/0 -D 172.16.0.198
> /sbin/ipfwadm -F -a accept -b -S 0.0.0.0/0 -D 172.16.0.66
> /sbin/ipfwadm -F -a accept -b -S 0.0.0.0/0 -D 172.16.0.64
> /sbin/ipfwadm -F -a accept -b -S 0.0.0.0/0 -D 172.16.1.225
> /sbin/ipfwadm -F -a accept -b -S 0.0.0.0/0 -D 172.16.0.65
> wie kann ich jetzt einzelne Dienste wie ftp, icmp oder telnet f�r
> bestimmte hosts sperren ?
Jetzt mu�t Du, wenn Du, wie ich oben beschrieben habe, die default
policy f�r Input und Output auf deny gesetzt hast, den Block mit den
Freischaltregeln 2x kopieren und jeweils das -F einmal druch -O und
einmal durch -I ersetzen, damit die Pakte akzeptiert und nach dem
Forwarding wieder weitergegeben werden!
Jetzt kannst Du, so wie ich das verstanden habe, einfach weitere
Regeln f�r jeden einzelnen Port anlegen. Neue Regeln �berschreiben
vorherige nur im �berlappungsbereich. Wenn du also Port 23 (Telnet)
f�r alle Freigegeben hast, kannst Du gleich ein Blocken f�r eine
einzelne IP-Adresse dahintersetzen:
ipfwadm -I -a deny -P tcp -W eth0 -S 0.0.0.0/0 -D 172.16.x.x 23
ipfwadm -F -a deny -P tcp -W eth0 -S 0.0.0.0/0 -D 172.16.x.x 23
ipfwadm -O -a deny -P tcp -W eth0 -S 0.0.0.0/0 -D 172.16.x.x 23
Ich bin auch erst neu in dieser Materie, ich hoffe das stimmt auch
so...
Ansonsten ist in der c�t 3/99 S.154ff auch ein Artikel f�r den
ersten Einsteig.
Alex
--
URL: http://www.tu-harburg.de/~seas2907/
PGP-Key: http://www.tu-harburg.de/~seas2907/pgp_alex.asc
Fingerprint: B1B7 CE4F 78C9 ED65 E12A 9DEC 1A16 8905 978B 9A00
--
Um aus der Liste ausgetragen zu werden, eine Mail an [EMAIL PROTECTED]
schicken, mit dem Text: unsubscribe suse-linux
