linux-l: Firewall Regel

[Steffen Dettmer]

BTW, kennt hier jemand ein gutes Linux Firewallscript (darf auf
*BSD zusätzlich unterstützen :)).
Sollte beliebige Regeln erlauben, und symbolische Namen für Teile
verwenden lassen, so daß man schreiben kann allow HTTP oder
sowas. Nicht so ein Kram wie bei SuSE, der die halbe Platte nach
Infos durchklappert und dann automagisch irgentwas konfiguriert
oder so. Schön übersichtlich, low-level aber
Symbole/Macros/Variablen kennen.

* Sebastian Rother wrote on Fri, Nov 02, 2001 at 19:39 +0100:
> Meine Grundlage dazu ist folgende Regel:
> ipchains -I input -i ppp0 -p tcp -y -j DENY -l

Regeln beerben? Interessant :) Oder Template? SCNR.

> Um Port 6000 zu blocken müsste ich diese Regel doch so abändern:
> 
> ipchains -I input -i eth0 -p 6000 tcp -y -j DENY -l
> 
> So denke ich mir das :o)

Ist auch fast richtig :)

Fehlt die Quelle/Zielangabe, und -p ist Protokoll, nicht port.
Und das -y würde ich hier weglassen. Du willst ja blocken. Klingt
für mich nach richtig aus und geht gar nicht. Warum an eth0
blocken? Ist mir unklar, aber egal.

Ich würde ein
ipchains -I input -i eht0 -d 0/0 6000 -p tcp -j DENY --log
probieren. 

> Nun die Frage: Wie kann ich bei IPTables den port 6000
> blockieren? 

man iptables? Hab hier sowas nicht. Ach doch! Manpage ist ja da.
Mal gucken.

iptables -t filter -I INPUT --destination-port 6000 -p tcp  -j LOG
iptables -t filter -I INPUT --destination-port 6000 -p tcp  -j DROP 
iptables -t filter -I FORWARD --destination-port 6000 -p tcp  -j LOG
iptables -t filter -I FORWARD --destination-port 6000 -p tcp  -j DROP 

-y heißt --syn

Ob das kürzer geht oder überhaupt funktioniert, weiß ich nicht,
hab hier nur ein 2.2er Kernel. Hab für 2.4.x noch kein geeignetes
Firewallscriptchen gefunden. Du anscheinend auch nicht :)

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.