Tach zusammen,

ich benutze hier einen SuSE 8.x mit der SuSEfirewall2 und möchte gerne in meinem Netz bestimmte Rechner aussperren (IP). Wie kann ich das denn anstellen?!? Oder geht das einfacher mit einem iptables Befehl?!? Kenne mich mit iptables aber nicht so gut aus!!

Danke



Gruß

Ulli

iptables -I INPUT -s IP -j REJECT
iptables -I OUTPUT -s IP -j REJECT
iptables -I FORWARD -s IP -j REJECT

Damit ist die IP gesperrt.

Kannst auch "iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01 -j DROP" verwenden. Falls der Rechner mal ne andere IP hat.

Schankedön!!!!

Hat gefunzt!!!!


Gruß


Ulli

...mhhh, kann ich damit auch bestimmte Ports blocken?!?


Gruß


Ulli

Original geschrieben von ullifichte
...mhhh, kann ich damit auch bestimmte Ports blocken?!?


Gruß


Ulli
hallo!

ja, du musst nur das handbuch lesen!
rtfm...

//richard

oder die manpages!!! man iptables!!

aber es sollte damit gehn:

iptabels -A Input -sport xxx -j drop

iptabels -A Output -sport xxx -j drop

iptabels -A Forward -sport xxx -j drop

kann aber auch falsch sein, da ich noch nicht so lange mit iptables rummache!!!

johnpatcher

Original geschrieben von johnpatcher
oder die manpages!!! man iptables!!

aber es sollte damit gehn:

iptabels -A Input -sport xxx -j drop

iptabels -A Output -sport xxx -j drop

iptabels -A Forward -sport xxx -j drop

kann aber auch falsch sein, da ich noch nicht so lange mit iptables rummache!!!

johnpatcher
hallo!

du hast recht, es ist falsch.
warum sollte man den source-port sperren?
das macht mit mit dport!

//richard

p.s: such dir bitte ein anderes board, wo reinblubbern kannst...

...der Tip von "TThomas" hat sofort Wirkung gezeigt, allerdings, wie mache ich dass denn wieder Rückgängig?!?

Gruß


Ulli

Ganz einfach:

Statt dem "-I" ein "-D" benutzen. Das "D" steht für "delete", die Regeln sind damit wieder gelöscht.


Falls dir das nicht ausreicht: Siehe Doku auf netfilter.org bzw "man iptables", wie schon erwähnt... ;)


Thomas.

und wenn ich ne liste von Ip Addis hab????

Wie geht das ?

einfach IP1 IP2 IP3 in ne Variable und verwenden
klappt das?

Gruß Temp

@temp

am besten mit for-schleife im script, oder wenn es ein bereich ist, mit subnetmasken arbeiten

greez

ahjo klar schleifen ;)

aber mit einem Befehl geht das nicht ?

Und subnetzmaske... jo dat geht ja auch :)

Gruß Temp

kommt drauf an, wie du "einen befehl" definierst

zum beispiel so:

for IP in `cat liste`; do
$IPT -s IP -j REJECT
done

greez

...wie sperre ich denn nun bestimmte Ports?!?

habe probiert:

iptables -A input -sport 4662 -j drop

...bekomme dann aber den Fehler

Bad argument `4662'
Try `iptables -h' or 'iptables --help' for more information.


Gruß


Ulli

So gebe ich was frei für mein Lan......
#Samba fuer das LAN freigeben
$IPTABLES -A INPUT -s 192.168.0.0/24 -p tcp --dport 137:139 -j ACCEPT
$IPTABLES -A INPUT -s 192.168.0.0/24 -p udp --dport 137:139 -j ACCEPT

...folglich sollte ein REJECT am ende die ports blocken
so zb:
$IPTABLES -A INPUT -s 192.168.0.0/24 -p tcp --dport 137:139 -j REJECT
$IPTABLES -A INPUT -s 192.168.0.0/24 -p udp --dport 137:139 -j REJECT

:) musste mal testen......

Der Ausdruck --sport beziehungsweise --dport kann nur zusammen mit -p tcp oder -p udp verwendet werden...

mfg
cane

Untschuldigt bitte meine Unwissenheit, aber kann man das nicht einfacher mit
/etc/host.deny lösen oder bewirkt die Datei was anderes?

Interessiert mich selbst.

Gruß

--sport ?


eigentlich habe ich net gefragt, was das bedeutet, sondern bin aus versehen auf eine frage eingegangen, die hier schon beantwortet wurde :D


naja, für einige suchende, destroyer, werden deine tips sicher hilfreich sein

greez

--sport =Sourceport = Quellport
--dport =Destinationport = Zielport
:)

in der Datei /etc/hosts.deny kann man ALL:ALL eintragen, das bewirkt das allen Clients der Zugriff auf ALLE Dienste untersagt wird.
Soll dann wieder was erlaubt werden kann man dann einzelne Rechner in /etc/hosts.allow eintragen.
für ftp zb:
wu.ftpd: 192.168.0.0/24 <<< ganzes netz kann dann ftp
in.telnet 192.168.0.99 <<<< nur einen rechner

so hoffe des passt so :)

/sbin/iptables -A INPUT -p tcp --dport 4662 -j DROP
/sbin/iptables -A INPUT -p udp --dport 4662 -j DROP