/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
iptables og PREROUTING
Fra : Jacob d'Andrade


Dato : 18-02-07 16:35

Hej ng

Jeg har lidt kvaler med at få et par regler til at virke i min iptables
firewall... synes jeg har læst man siderne igennem, men kan ik helt finde ud
af det...

Mine brugere har hver en webside beskyttet af login, hvor de skal indtaste
deres source ip... Firewallen genstarter så engang imellem, så de kan komme
ind... Det virker også fint nok, når det er til ftp serveren på selve
firewallen, men lige så snart det skal routes til en maskine bag ved, går
det galt...

Nedstående lukker alle fra nettet ind,

$iptables -t nat -A PREROUTING -i $inetif -p tcp --destination-port
81 -j DNAT --to-destination 192.168.200.52:81
$iptables -A FORWARD -i $inetif -o $lanif -d 192.168.200.52 -m
state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -A FORWARD -i $inetif -o $lanif -p tcp --dport 81 -d
192.168.200.52 -j ACCEPT

hvordan kan jeg sørge for at det kun er bestemte source ip'erer jeg lukker
ind? Lige som

$iptables -A INPUT -i $inetif -p TCP -s $ip --dport 21 -j ACCEPT

gør til ftp serveren ? med "-s $ip"

Håber der er nogen der kan hjælpe

Mvh Jacob


 
 
Christian E. Lysel (18-02-2007)
Kommentar
Fra : Christian E. Lysel


Dato : 18-02-07 16:41

On Sun, 2007-02-18 at 16:35 +0100, Jacob d'Andrade wrote:
> Mine brugere har hver en webside beskyttet af login, hvor de skal indtaste
> deres source ip.

Husker du at lave input validering, eller kan man bruge følge source ip:
"; rm -rf / ;" ?



Jacob d'Andrade (18-02-2007)
Kommentar
Fra : Jacob d'Andrade


Dato : 18-02-07 18:35


"Christian E. Lysel" <christian@examples.net> skrev i meddelelsen
news:1171813242.11877.13.camel@bigfoot.lan.spindelnet.dk...
On Sun, 2007-02-18 at 16:35 +0100, Jacob d'Andrade wrote:
> Mine brugere har hver en webside beskyttet af login, hvor de skal indtaste
> deres source ip.

Husker du at lave input validering, eller kan man bruge følge source ip:
"; rm -rf / ;" ?

Jæbs, selvfølgelig

Jacob



Kent Friis (18-02-2007)
Kommentar
Fra : Kent Friis


Dato : 18-02-07 19:04

Den Sun, 18 Feb 2007 16:35:02 +0100 skrev Jacob d'Andrade:
> $iptables -A FORWARD -i $inetif -o $lanif -d 192.168.200.52 -m
> state --state ESTABLISHED,RELATED -j ACCEPT
> hvordan kan jeg sørge for at det kun er bestemte source ip'erer jeg lukker
> ind? Lige som
>
> $iptables -A INPUT -i $inetif -p TCP -s $ip --dport 21 -j ACCEPT
>
> gør til ftp serveren ? med "-s $ip"
>
> Håber der er nogen der kan hjælpe

Øhm, det er muligt jeg har overset noget, men er det ikke bare præcis
det samme du skal gøre på din FORWARD regel?

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Jacob d'Andrade (18-02-2007)
Kommentar
Fra : Jacob d'Andrade


Dato : 18-02-07 20:25

"Kent Friis" <nospam@nospam.invalid> skrev i meddelelsen
news:45d89514$0$90270$14726298@news.sunsite.dk...
> Den Sun, 18 Feb 2007 16:35:02 +0100 skrev Jacob d'Andrade:
>
> Øhm, det er muligt jeg har overset noget, men er det ikke bare præcis
> det samme du skal gøre på din FORWARD regel?
>

Jooh ... jeg havde bare kun forsøgt på den ene, det virker nu...

Jacob


Christian E. Lysel (18-02-2007)
Kommentar
Fra : Christian E. Lysel


Dato : 18-02-07 19:34

On Sun, 2007-02-18 at 18:35 +0100, Jacob d'Andrade wrote:
> Husker du at lave input validering, eller kan man bruge følge source ip:
> "; rm -rf / ;" ?
>
> Jæbs, selvfølgelig

Håber du svarede på den første del af sætningen.


Jacob d'Andrade (18-02-2007)
Kommentar
Fra : Jacob d'Andrade


Dato : 18-02-07 20:08


"Christian E. Lysel" <christian@examples.net> skrev i meddelelsen
news:1171823622.11877.34.camel@bigfoot.lan.spindelnet.dk...
On Sun, 2007-02-18 at 18:35 +0100, Jacob d'Andrade wrote:
> Husker du at lave input validering, eller kan man bruge følge source ip:
> "; rm -rf / ;" ?
>
> Jæbs, selvfølgelig

Håber du svarede på den første del af sætningen.

Jæbs.

Jacob


Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408926
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste