Archiv verlassen und diese Seite im Standarddesign anzeigen : Rechner aussperren?!?
ullifichte
03.11.03, 22:38
Tach zusammen,
ich benutze hier einen SuSE 8.x mit der SuSEfirewall2 und möchte gerne in meinem Netz bestimmte Rechner aussperren (IP). Wie kann ich das denn anstellen?!? Oder geht das einfacher mit einem iptables Befehl?!? Kenne mich mit iptables aber nicht so gut aus!!
Danke
Gruß
Ulli
iptables -I INPUT -s IP -j REJECT
iptables -I OUTPUT -s IP -j REJECT
iptables -I FORWARD -s IP -j REJECT
Damit ist die IP gesperrt.
Kannst auch "iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01 -j DROP" verwenden. Falls der Rechner mal ne andere IP hat.
ullifichte
04.11.03, 10:02
Schankedön!!!!
Hat gefunzt!!!!
Gruß
Ulli
ullifichte
04.11.03, 10:03
...mhhh, kann ich damit auch bestimmte Ports blocken?!?
Gruß
Ulli
derRichard
04.11.03, 12:46
Original geschrieben von ullifichte
...mhhh, kann ich damit auch bestimmte Ports blocken?!?
Gruß
Ulli
hallo!
ja, du musst nur das handbuch lesen!
rtfm...
//richard
johnpatcher
04.11.03, 20:48
oder die manpages!!! man iptables!!
aber es sollte damit gehn:
iptabels -A Input -sport xxx -j drop
iptabels -A Output -sport xxx -j drop
iptabels -A Forward -sport xxx -j drop
kann aber auch falsch sein, da ich noch nicht so lange mit iptables rummache!!!
johnpatcher
derRichard
04.11.03, 20:52
Original geschrieben von johnpatcher
oder die manpages!!! man iptables!!
aber es sollte damit gehn:
iptabels -A Input -sport xxx -j drop
iptabels -A Output -sport xxx -j drop
iptabels -A Forward -sport xxx -j drop
kann aber auch falsch sein, da ich noch nicht so lange mit iptables rummache!!!
johnpatcher
hallo!
du hast recht, es ist falsch.
warum sollte man den source-port sperren?
das macht mit mit dport!
//richard
p.s: such dir bitte ein anderes board, wo reinblubbern kannst...
ullifichte
26.11.03, 15:40
...der Tip von "TThomas" hat sofort Wirkung gezeigt, allerdings, wie mache ich dass denn wieder Rückgängig?!?
Gruß
Ulli
Ganz einfach:
Statt dem "-I" ein "-D" benutzen. Das "D" steht für "delete", die Regeln sind damit wieder gelöscht.
Falls dir das nicht ausreicht: Siehe Doku auf netfilter.org bzw "man iptables", wie schon erwähnt... ;)
Thomas.
und wenn ich ne liste von Ip Addis hab????
Wie geht das ?
einfach IP1 IP2 IP3 in ne Variable und verwenden
klappt das?
Gruß Temp
@temp
am besten mit for-schleife im script, oder wenn es ein bereich ist, mit subnetmasken arbeiten
greez
ahjo klar schleifen ;)
aber mit einem Befehl geht das nicht ?
Und subnetzmaske... jo dat geht ja auch :)
Gruß Temp
kommt drauf an, wie du "einen befehl" definierst
zum beispiel so:
for IP in `cat liste`; do
$IPT -s IP -j REJECT
done
greez
ullifichte
16.12.03, 21:55
...wie sperre ich denn nun bestimmte Ports?!?
habe probiert:
iptables -A input -sport 4662 -j drop
...bekomme dann aber den Fehler
Bad argument `4662'
Try `iptables -h' or 'iptables --help' for more information.
Gruß
Ulli
Destroyer69
16.12.03, 22:02
So gebe ich was frei für mein Lan......
#Samba fuer das LAN freigeben
$IPTABLES -A INPUT -s 192.168.0.0/24 -p tcp --dport 137:139 -j ACCEPT
$IPTABLES -A INPUT -s 192.168.0.0/24 -p udp --dport 137:139 -j ACCEPT
...folglich sollte ein REJECT am ende die ports blocken
so zb:
$IPTABLES -A INPUT -s 192.168.0.0/24 -p tcp --dport 137:139 -j REJECT
$IPTABLES -A INPUT -s 192.168.0.0/24 -p udp --dport 137:139 -j REJECT
:) musste mal testen......
Der Ausdruck --sport beziehungsweise --dport kann nur zusammen mit -p tcp oder -p udp verwendet werden...
mfg
cane
Untschuldigt bitte meine Unwissenheit, aber kann man das nicht einfacher mit
/etc/host.deny lösen oder bewirkt die Datei was anderes?
Interessiert mich selbst.
Gruß
--sport ?
eigentlich habe ich net gefragt, was das bedeutet, sondern bin aus versehen auf eine frage eingegangen, die hier schon beantwortet wurde :D
naja, für einige suchende, destroyer, werden deine tips sicher hilfreich sein
greez
Destroyer69
17.12.03, 13:16
--sport =Sourceport = Quellport
--dport =Destinationport = Zielport
:)
in der Datei /etc/hosts.deny kann man ALL:ALL eintragen, das bewirkt das allen Clients der Zugriff auf ALLE Dienste untersagt wird.
Soll dann wieder was erlaubt werden kann man dann einzelne Rechner in /etc/hosts.allow eintragen.
für ftp zb:
wu.ftpd: 192.168.0.0/24 <<< ganzes netz kann dann ftp
in.telnet 192.168.0.99 <<<< nur einen rechner
so hoffe des passt so :)
/sbin/iptables -A INPUT -p tcp --dport 4662 -j DROP
/sbin/iptables -A INPUT -p udp --dport 4662 -j DROP
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.