linux-l: Firewall Regel
Sebastian Rother
s.rother at cryox.de
Sa Nov 3 12:13:02 CET 2001
Am Samstag, 3. November 2001 03:53 schrieben Sie:
> BTW, kennt hier jemand ein gutes Linux Firewallscript (darf auf
> *BSD zusätzlich unterstützen :)).
> Sollte beliebige Regeln erlauben, und symbolische Namen für Teile
> verwenden lassen, so daß man schreiben kann allow HTTP oder
> sowas. Nicht so ein Kram wie bei SuSE, der die halbe Platte nach
> Infos durchklappert und dann automagisch irgentwas konfiguriert
> oder so. Schön übersichtlich, low-level aber
> Symbole/Macros/Variablen kennen.
>
> * Sebastian Rother wrote on Fri, Nov 02, 2001 at 19:39 +0100:
> > Meine Grundlage dazu ist folgende Regel:
> > ipchains -I input -i ppp0 -p tcp -y -j DENY -l
>
> Regeln beerben? Interessant :) Oder Template? SCNR.
>
> > Um Port 6000 zu blocken müsste ich diese Regel doch so abändern:
> >
> > ipchains -I input -i eth0 -p 6000 tcp -y -j DENY -l
> >
> > So denke ich mir das :o)
>
> Ist auch fast richtig :)
>
> Fehlt die Quelle/Zielangabe, und -p ist Protokoll, nicht port.
> Und das -y würde ich hier weglassen. Du willst ja blocken. Klingt
> für mich nach richtig aus und geht gar nicht. Warum an eth0
> blocken? Ist mir unklar, aber egal.
Ich hab ein Kabelmodem welches über ne Netzwerkkarte funktioniert. (also nix
mit ppp da Standleitung und feste IP-Nr)
> Ich würde ein
> ipchains -I input -i eht0 -d 0/0 6000 -p tcp -j DENY --log
> probieren.
>
> > Nun die Frage: Wie kann ich bei IPTables den port 6000
> > blockieren?
>
> man iptables? Hab hier sowas nicht. Ach doch! Manpage ist ja da.
> Mal gucken.
>
> iptables -t filter -I INPUT --destination-port 6000 -p tcp -j LOG
> iptables -t filter -I INPUT --destination-port 6000 -p tcp -j DROP
> iptables -t filter -I FORWARD --destination-port 6000 -p tcp -j LOG
> iptables -t filter -I FORWARD --destination-port 6000 -p tcp -j DROP
>
> -y heißt --syn
>
> Ob das kürzer geht oder überhaupt funktioniert, weiß ich nicht,
> hab hier nur ein 2.2er Kernel. Hab für 2.4.x noch kein geeignetes
> Firewallscriptchen gefunden. Du anscheinend auch nicht :
Danke, ich probiers mal :o)
Wenn nich geht leite ich Beschwerden an den Autor weiter *g*
mfg. Sebastian
Mehr Informationen über die Mailingliste linux-l