PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : mit iptables port sperren



fbachmair007
25.12.03, 15:05
so am linux server is folgende konfiguration
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/255.255.255.0 -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/255.255.255.0 -i eth1 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.xxx
was muss ich da hinzufügen das der ssh port für eth0 also von ausen rein gesperrt wird
intern soll der port aber laufen
PS: auf samba will ich auch nur zugriff vom internen netzwerk erlauben

usr
25.12.03, 15:17
Wieso hast du deine default policy auf ACCEPT? Binde deine Dienste doch einfach an das interne Interface.

fbachmair007
25.12.03, 15:20
sorry das iptables script hab nich ich geschreieben
also ich hab null ahnung ich weis nur das funktioniert
und ich will einfach was ergänzen oder wenn euch was nicht passt schreibt die ganze zeile hin danke!!

wie binde ich einen dienst an eth1(internes interface) ??

Cosmo
25.12.03, 16:25
iptables -A INPUT -p tcp --dport 22 -j DROP;

schließt den port 22

allerdings ist eh so ziemlich alles offen bei dir und deine IP in der letzten regel solltest du löschen und nicht hier veröffentlichen

fbachmair007
25.12.03, 16:28
da hast du recht....
also was noch besser wäre ist alle ports zu schliesen
und dan alle die ich brauche öffenen
nun wie geht das !!!
danke

der befehl oben schließt den port aber generell nicht nur für internet sonern auch fürs netzwerk das willich aber nicht

Cosmo
25.12.03, 16:33
So ich glaub der Port ist zu ich komme da jetzt nicht mehr drauf
iptables scripte kannst du dir erstellen lassen:

Und nächstes mal n bischen vorsichtiger ok

http://www.harry.homelinux.org/

jm-data sollte dir aber auch n bischen support liefern ;)

fbachmair007
25.12.03, 16:47
ok
danke für die adresse jetzt drüfte nurmer port 80 offen sein

Cosmo
25.12.03, 16:52
jo soweit ich das sehe
gibs nur noch port 80

zur Kontrolle
http://www.port-scan.de

viel Spaß