ipTables blockt nicht.

[SUMAS]

Hallo,

wenn ich ein Spamabsender sperren will von einem bestimmten IP-Bereich, mach ich das so:

Code:

iptables -A INPUT -s 62.27.57.0/62.27.57.255 -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable

Allerdings bekomm ich immernoch Spam aus diesem IP-Bereich. Was ist da falsch???

Danke

[eule]

Deine Netzmaske finde ich etwas ungewoehnlich.

[asi_dkn]

Die Netzwerkmaske ist vermutlich auch falsch, resp. du wolltest den Bereich von 62.27.57.0 bis 62.27.57.255 blocken? Das würde man mit einem Doppelpunkt ":" statt einem Slash schreiben. Alternativ kannst du auch die richtige Netzmaske verwenden wenn du die denn kennst.

[SUMAS]

also ich hab im netz gelesen, dass es mit dem "/" gemacht werden muss.
mit einem ":" kommt ein fehler "host not found"!

[Brocki]

Wegen dem Netzbereich:
Warum machst du nicht:

Code:

62.27.57.0/24

Zur weiteren Diagnose Poste doch mal:

Code:

iptables -L -v -n

Grüße,
Brocki

[SUMAS]

Naja, es kam auch schon vor, dass ich ab der 3. stelle ein range machen wollte.
Muss ich dann 81.92.100/200 schreiben, oder wie?

Wenn ich

Code:

iptables -A INPUT -s 212.222.91.0/255 -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable

eingebe komm:

iptables v1.3.8: invalid mask `255' specified

Hier mal der auszug:

Code:

Chain INPUT (policy ACCEPT 331M packets, 151G bytes)
 pkts bytes target     prot opt in     out     source               destination
 613K   37M REJECT     tcp  --  *      *       195.78.76.178        0.0.0.0/0           tcp dpt:25 reject-with icmp-port-unreachable
 7845  471K REJECT     tcp  --  *      *       69.10.45.20          0.0.0.0/0           tcp dpt:25 reject-with icmp-port-unreachable
33317 1999K REJECT     tcp  --  *      *       212.222.91.88        0.0.0.0/0           tcp dpt:25 reject-with icmp-port-unreachable
 3417  164K REJECT     tcp  --  *      *       59.41.33.227         0.0.0.0/0           tcp dpt:25 reject-with icmp-port-unreachable
  583 30316 REJECT     tcp  --  *      *       195.140.186.59       0.0.0.0/0           tcp dpt:25 reject-with icmp-port-unreachable
40486 2429K REJECT     tcp  --  *      *       62.50.41.22          0.0.0.0/0           tcp dpt:25 reject-with icmp-port-unreachable
14772  886K REJECT     tcp  --  *      *       62.27.57.165         0.0.0.0/0           tcp dpt:25 reject-with icmp-port-unreachable
20287 1217K REJECT     tcp  --  *      *       212.222.91.65        0.0.0.0/0           tcp dpt:25 reject-with icmp-port-unreachable
20308 1218K REJECT     tcp  --  *      *       62.50.41.28          0.0.0.0/0           tcp dpt:25 reject-with icmp-port-unreachable
11011  661K REJECT     tcp  --  *      *       212.222.91.79        0.0.0.0/0           tcp dpt:25 reject-with icmp-port-unreachable
24113 1447K REJECT     tcp  --  *      *       212.222.91.24        0.0.0.0/0           tcp dpt:25 reject-with icmp-port-unreachable
10827  650K REJECT     tcp  --  *      *       212.222.91.63        0.0.0.0/0           tcp dpt:25 reject-with icmp-port-unreachable
    0     0 REJECT     tcp  --  *      *       212.222.0.0/212.222.255.255  0.0.0.0/0           tcp dpt:25 reject-with icmp-port-unreachable
    0     0 REJECT     tcp  --  *      *       62.50.41.0/62.50.41.255  0.0.0.0/0           tcp dpt:25 reject-with icmp-port-unreachable
 3029  133K REJECT     tcp  --  *      *       212.227.87.97        0.0.0.0/0           tcp dpt:25 reject-with icmp-port-unreachable
   24  1440 REJECT     tcp  --  *      *       81.201.117.21        0.0.0.0/0           tcp dpt:25 reject-with icmp-port-unreachable
   12   720 REJECT     tcp  --  *      *       216.36.54.141        0.0.0.0/0           tcp dpt:25 reject-with icmp-port-unreachable
    0     0 REJECT     tcp  --  *      *       216.36.54.141        0.0.0.0/0           tcp dpt:25 reject-with icmp-port-unreachable
    0     0 REJECT     tcp  --  *      *       62.27.57.0/62.27.57.255  0.0.0.0/0           tcp dpt:25 reject-with icmp-port-unreachable
  995 59700 REJECT     tcp  --  *      *       202.213.221.203      0.0.0.0/0           tcp dpt:25 reject-with icmp-port-unreachable
    0     0 REJECT     tcp  --  *      *       58.8.106.188         0.0.0.0/0           tcp dpt:25 reject-with icmp-port-unreachable
    0     0 REJECT     tcp  --  *      *       62.27.57.0/62.27.57.255  0.0.0.0/0           tcp dpt:25 reject-with icmp-port-unreachable
    0     0 REJECT     tcp  --  *      *       212.222.91.0/212.222.91.255  0.0.0.0/0           tcp dpt:25 reject-with icmp-port-unreachable
    0     0 REJECT     tcp  --  *      *       81.92.112.0/81.92.115.255  0.0.0.0/0           tcp dpt:25 reject-with icmp-port-unreachable

[asi_dkn]

Du bekommst den Fehler wegen der Netzmaske weil 255 keine gültige Netzmaske ist. Du gibst mit der Maske an welche Bits "maskiert" werden, das kann maximal 32 Bit sein... du willst aber 24 Bit (255.255.255.0).

[SUMAS]

sorry, hab ich jetzt nicht ganz vestanden. wie muss es denn richtig lauten?

[cane]

Falsch:

212.222.91.0/255

Richtig:

212.222.91.0/24

mfg
cane

[asi_dkn]

sorry, hab ich jetzt nicht ganz vestanden. wie muss es denn richtig lauten?

Eventuell wäre es gar keine so dumme Idee wenn du dich mal mit Netzwerkgrundlagen befassen würdest. Schliesslich geht es bei IPTables um nichts anderes als das Netzwerk und du wirst dir selber einen grossen Gefallen tun wenn du auch "weisst" was du da konfigurierst.

[R3dFox_]

Just my 5 Cents:
Generell wuerde ich bei einer Firewall per Default ALLES Droppen (Nicht Rejecten!), und dann einzelne IPs oeffnen.

[HirschHeisseIch]

Just my 5 Cents:
Generell wuerde ich bei einer Firewall per Default ALLES Droppen (Nicht Rejecten!), und dann einzelne IPs oeffnen.

Da hast aber bei nem Server, der im Internet steht, und per se erstmal von jedem erreichbar sein soll verdammt viel zu tun mit dem Freigeben...

Edit:
Auf Port-Ebene macht man das schon mal. Alle Ports zu, und nur die öffnen, die wirklich gebraucht werden. Das ist aber auch eine Glaubens-Frage.
Ports offen lassen, weil eh kein Dienst lauscht vs. Port dicht machen.
Genau so wie reject vs. drop.

[Rain_maker]

Ich könnte ja jetzt gemein sein und fragen, wieso man "unbedingt" droppen und bloß nicht rejecten soll, die Antwort darauf wird sicher lustig (nicht nur aber besonders bei einem Server).

(OK, ein "guter" Grund wäre, daß man dann den einen "fühlbaren" Unterschied hat, daß da auch wirklich ein Paketfilter läuft, weil dieser die Pakete wegwirft anstatt die Arbeit auf den Ports, die -bis auf die Ports der gewünschten Dienste eh zu sein sollten- das OS erledigen zu lassen.)

[madnobody]

hi,

ich wuerde einfach das hier machen.

iptables -A INPUT -s 62.27.57.0/24 -p tcp -m tcp --dport 25 -j DROP

cu chris