iptables - linux firewall

/15 betyder at du benytter en 15-bit netmaske. Det er ikke det du vil, med mindre du kan åbne op for hele subnets. I så fald vil du nok benytte /24 eller større..

Jeg tror du mener /16

Jo, iptables kan bestemt bruges til at afgrænse hele ranges. Hvis du vil forhindre alle fra 80.62.*.* i at komme på din server så vil denne kommando gøre dette:

iptables -A INPUT -s 80.62.0.0/16 -j DROP

Hvis du omvendt vil tillade adgang for det range er kommandoen:

iptables -A INPUT -s 80.62.0.0/16 -j ACCEPT

Det der med 16 betyder for iptables at den kun skal kigge på de første 16 bit i IP adressen. En IP adresse består af 32 bit, og disse er inddelt i 4 oktetter af 8 bit. Det er derfor at der er 4 numre i et ipnummer. For 8 bit er de mulige værdier mellem 00000000 = 0, og 11111111 = 255, og derfor er de 4 numre i et ip nummer en værdi mellem 0 og 255.

Lad os tage et ip nummer, 80.62.8.54. Det ser sådan her ud i binært:

01010000 00111110 00001000 00110110

Når iptables får besked på at nægte adgang for 80.62.0.0/16 så vil den udelukkende kigge på de første 16 bit i IP adressen fra venstre. Hermed kan den matche alle ip adresser indenfor 80.62.*.* og nægte pakker med den afsender adresse adgang.
Hvis vi feks ville have nægtet adgang for 80.62.8.* så ville kommandoen have været følgende i stedet:

iptables -A INPUT -s 80.62.8.0/24 -j DROP

Hvor vi får den til at kigge på de første 24 bits i adressen. Dvs de første 3 oktetter.

iptables er yderst kraftfuld, bla fordi den er indbygget direkte i kernel. Egentlig hedder firewallen "Netfilter", men det util man bruger til at styre Netfilter i kernel hedder iptables.
Den ultimative iptables tutorial findes her: http://iptables-tutorial.frozentux.net/iptables-tutorial.html

tror det er meningen at jeg skal lave det som eks 80.62.0.0/15 fordi det er det af den ip TDC Ejer vil jeg næsten skyde på

http://www.ripe.net/perl/whois?form_type=simple&full_query_string=&searchtext=80.62.0.0%2F15&do_search=Search <-- sådan siger ripe nemlig også er en liste jeg har fået fra Jay.net med ip ranges og der står nettop 80.62.0.0/15

er lidt nogle sære ting hehe men eks 80.62.0.0/15 skulle give fra 80.62.0.0 til 80.63.255.255

jeps det er det også i og med at 00111110 er 62 og 00111111 er 63.

løste det selv hved at benytte den inbyggede funktion der findes i fedora, kunne desvære ikke bruge meget af alt det der blev skrevet sry :|

http://expfaq.1go.dk/?id=56#generel_opforsel

Jeg "flamer" lige denne tråd så strych9 kan få noget for sit gode svar, håber det er ok.
http://www.eksperten.dk/spm/601180