Avatar billede characterx Nybegynder
19. juni 2003 - 21:39 Der er 6 kommentarer og
1 løsning

Iptables - lukning af eksterne ip-adresser for bestemte porte

Hej,

Jeg ville høre om nogle ville være interresseret i at vise mig et eksempel på hvordan iptables kunne konfigures til at droppe alt trafik fra bestemt ip-adresser til lokale porte(f.eks. 136-139).

Sådan så fix. 192.168.1.x fik adgang til 139-139
eller lign. hvor alle ikke .dk hostnames blev blokkeret til f.eks. port 443?

Ville blive glad hvis nogen var interresseret i at hjælpe.
På forhånd tak!

//TNN
Avatar billede langbein Nybegynder
19. juni 2003 - 22:15 #1
Jo det skulle være greit nok. Det vanlige (og det beste) det er imidlertid å først blokkere alle porter (Default policy drop) og så åpne en og en port (eller serie av porter) Går det bra ?

Det er også forskjell på å åpne de portene som går inn til serveren lokale prosesser kontra å åpne for trafikken inn til Lan via en Linux gateway. Dreier det seg "bare" om en server eller dreier det seg om en gateway med 2 kort ??
Avatar billede langbein Nybegynder
19. juni 2003 - 22:22 #2
For server med statefull inspection:

#!/bin/bash

# Modul for statefull inspection
modprobe ip_conntrack

# Reset chains
iptables -F
iptables -t nat -F
iptables -t mangle -F

# Sette policies (default rules):
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -A INPUT -i lo -j ACCEPT

# Open for internet servers
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# Port 139 åpen fra 192.168.1.2
iptables -A INPUT -p tcp -s 192.168.1.2 --dport 139 -j ACCEPT

iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Avatar billede langbein Nybegynder
19. juni 2003 - 22:24 #3
"hvor alle ikke .dk hostnames blev blokkeret til f.eks. port 443?"

Nei det går ikke. Iptables kan ikke forholde seg til domenenavn for eksempel .dk hovedsakelig bare ip adresser, porter og "flagg".
Avatar billede characterx Nybegynder
20. juni 2003 - 00:52 #4
Okay, viste jeg ikke.

Nu er det bare sådan at jeg kører en ftp med passive-ports - men disse kan vel begrænses til et bestemt port-område. Der ud over har jeg også en squid proxy med en del porte som jeg er i tvivl om
Avatar billede langbein Nybegynder
20. juni 2003 - 10:54 #5
Avatar billede characterx Nybegynder
22. juni 2003 - 22:30 #6
jamen tak for den ind til vidre hjælp. Lukker det nu.
Avatar billede langbein Nybegynder
22. juni 2003 - 23:10 #7
Takker for points !! Sjekker akkurat portnummer for squid ....
Det er default 3128
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester