Hallo,

ich hab nach wie vor ein kleineres Problem.
System: SuSE Linux 9.3 / SuSEFirewall2

Auf eine NIC wurden 2 IPs gelegt, IP1 an eth0, IP2 an eth0:1
Eintrag in der config der FW: FW_DEV_INT="eth0 eth0:1"

Nun soll für IP2 der Zugriff auf Port 9020 blockiert werden
Folgenden Eintrag hab ich jetzt in der custom-Datei der FW stehen:

iptables -I INPUT -p tcp -s 192.168.23.72 --dport 9020 -j DROP

Nur funktioniert das alles nicht :(

Kann mir da jemand noch nen Tip geben?

Auf eine NIC wurden 2 IPs gelegt, IP1 an eth0, IP2 an eth0:1

Hast Du eine bridge gebaut oder wie ist das zu verstehen?

posten:


/sbin/ifconfig

Gruß Aqualung

Hast Du eine bridge gebaut oder wie ist das zu verstehen?
Via YAST der Netzwerkkarte eine 2. IP zugewiesen.

Ich hoffe, Du meinst das hier:


linux:/ # sbin/ifconfig
eth0 Link encap:Ethernet HWaddr 00:50:22:86:BD:B3
inet addr:192.168.23.4 Bcast:192.168.23.255 Mask:255.255.255.0
inet6 addr: fe80::250:22ff:fe86:bdb3/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2548 errors:0 dropped:0 overruns:0 frame:0
TX packets:3263 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:354664 (346.3 Kb) TX bytes:2075432 (1.9 Mb)
Interrupt:3 Base address:0xf00

eth0:1 Link encap:Ethernet HWaddr 00:50:22:86:BD:B3
inet addr:192.168.23.72 Bcast:192.168.23.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:3 Base address:0xf00

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:64 errors:0 dropped:0 overruns:0 frame:0
TX packets:64 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:4112 (4.0 Kb) TX bytes:4112 (4.0 Kb)

und was willst Du mit der 2. Ip-Adresse?

Aqualung

Was willst Du mit einer 2.IP Adresse auf dem selben Interface im selben Subnetz?

Zweites Interface im selben Subnetz und dann ifplugd laufen lassen (wenn die eine Karte ausfällt, kann die andere übernehmen, wenn es denn funktioniert), wäre gerade noch OK, oder zweite IP aus anderem Subnetz auf gleichem Interface wäre auch etwas, was Sinn machen kann, aber so?

Anders gefragt:

Was soll diese Konstruktion denn bewirken?

Außerdem stehen beide Interfaces als "INTERN" definiert, da macht die SFW2 schlichtweg gar nix (per default).

Ob da Custom vorher greift kann ich auf Anhieb nicht sagen, mal in die Kommentare der Datei /etc/sysconfig/SuSEfirewall2 schauen.

Greetz,

RM

Das ganze ist ein Versuch auf meinem heimischen Bastelserver, um rauszufinden wie das gemacht werden kann.
Ziel soll sein, das ein Port (z.B. 9020) für IP1 offen ist, aber Anfragen von IP2 an diesen Port abgelehnt werden.
Falls es funktionieren sollte, wird es auf einen Mietserver übertragen, bei dem es die selben Voraussetzungen gibt, also nur 1 Netzwerkkarte mit 2 IPs.
Das es lösbar sein soll, hab ich schon mehrfach bei google gefunden, nur das WIE hat keiner so richtig beschrieben.

Warum das ganze?
Ein Shoutcastserver läßt sich leider nur an einen Port binden, aber nicht an IPs oder URLs. Aus rechtlichen Gründen darf er aber über andere als der bei GEMA/GVL gemeldeten Adresse nicht empfangbar sein.
Da aber noch mehrere Webseiten mit auf dem Server liegen, ist der Shoutcast auf allen diesen Webadressen erreichbar.
Deshalb soll der Shoutcast auf die eine, die Webseiten auf die andere IP.

P.S. Bei dem MIetserver sieht die Ausgabe der ifconfig genau so aus wie oben gepostet, nur halt andere IPs drin.

keiner mehr eine Idee?

Hallo,

Sollen die zweite IP sich nicht auf den Port 9020 verbinden können oder die IP auf diesem Port nicht erreichbar sein?

Falls es das erste ist wäre doch eigentlich das richtig, oder nicht?

iptables -I OUTPUT -p tcp -s 192.168.23.72 --dport 9020 -j DROP

Theoretisch könnte es auch so funktionieren

iptables -I OUTPUT -o eth0:1 --dport 9020 -j DROP

MFG

zEriX

Hallo zerix,

Die 2. IP soll auf dem Port 9020 nicht erreichbar sein, also eine Anfrage in Form von 192.168.23.72:9020 bzw www ._URL_. de:9020 soll abgelehnt werden.

iptables -I INPUT -p tcp -s 192.168.23.72 --dport 9020 -j DROP

Dann ist die 192.168.23.72 natürlich nicht die Quelle der Anfrage sondern das Ziel:


iptables -I INPUT -p tcp -d 192.168.23.72 --dport 9020 -j DROP

Generell:
Es ist besser ALLES zu blocken und nur das gewünschre zu erlauben.

mfg
cane

Ähm - liege ich da falsch oder sollte es nicht:



iptables -A INPUT -i eth0:1 -p tcp -d 192.168.23.72 --dport 9050 -j DROP


sein ?

rudelgurkes Zeile mit kleinen Korrekturen *grins*


iptables -A INPUT -i eth0:1 --dport 9020 -j DROP

Natürlich muss ich cane recht geben. Warum blockst du nicht erstmal alles und gibst dann das nötige frei?

MFG

zEriX

rudelgurkes Zeile mit kleinen Korrekturen *grins*

Natürlich :)

Ich persönlich schreibe nur die IP's noch mit, die dürften sich wohl kaum ändern und - naja - mag unnötig sein.
Aber wie schon gesagt, die Default Policy auf DROP oder REJECT setzen und dann einzeln freischalten ist wesentlich einfacher

@rudelgurke
Du hattest auch den falschen Port :-)


Aber wie schon gesagt, die Default Policy auf DROP oder REJECT setzen und dann einzeln freischalten ist wesentlich einfacher

Genau.

MFG

zEriX

Hallo,

Das Thema hat sich allerdings dahingehend erledigt, dass das Radio auf einen eigenen Server umgezogen ist.

Trotzdem Danke für die Tips

R-Dackel

Auch wenn es sich erledigt hat:
a) Du brauchst kein iptables
b) Wenn sich der Shoutcast Service tatsächlich an eth0:1 bindet, dann reagiert der Server auch nicht auf anfragen auf eth0 Port 9020. Er reagiert nur auf Anfragen auf eth0:1 Port 9020.

HTH