Hallo,

wenn ich ein Spamabsender sperren will von einem bestimmten IP-Bereich, mach ich das so:


iptables -A INPUT -s 62.27.57.0/62.27.57.255 -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable

Allerdings bekomm ich immernoch Spam aus diesem IP-Bereich. Was ist da falsch???

Danke

Deine Netzmaske finde ich etwas ungewoehnlich.

Die Netzwerkmaske ist vermutlich auch falsch, resp. du wolltest den Bereich von 62.27.57.0 bis 62.27.57.255 blocken? Das würde man mit einem Doppelpunkt ":" statt einem Slash schreiben. Alternativ kannst du auch die richtige Netzmaske verwenden wenn du die denn kennst.

also ich hab im netz gelesen, dass es mit dem "/" gemacht werden muss.
mit einem ":" kommt ein fehler "host not found"!

Wegen dem Netzbereich:
Warum machst du nicht:


62.27.57.0/24


Zur weiteren Diagnose Poste doch mal:


iptables -L -v -n


Grüße,
Brocki

Naja, es kam auch schon vor, dass ich ab der 3. stelle ein range machen wollte.
Muss ich dann 81.92.100/200 schreiben, oder wie?

Wenn ich

iptables -A INPUT -s 212.222.91.0/255 -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable

eingebe komm:

iptables v1.3.8: invalid mask `255' specified

Hier mal der auszug:


Chain INPUT (policy ACCEPT 331M packets, 151G bytes)
pkts bytes target prot opt in out source destination
613K 37M REJECT tcp -- * * 195.78.76.178 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
7845 471K REJECT tcp -- * * 69.10.45.20 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
33317 1999K REJECT tcp -- * * 212.222.91.88 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
3417 164K REJECT tcp -- * * 59.41.33.227 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
583 30316 REJECT tcp -- * * 195.140.186.59 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
40486 2429K REJECT tcp -- * * 62.50.41.22 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
14772 886K REJECT tcp -- * * 62.27.57.165 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
20287 1217K REJECT tcp -- * * 212.222.91.65 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
20308 1218K REJECT tcp -- * * 62.50.41.28 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
11011 661K REJECT tcp -- * * 212.222.91.79 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
24113 1447K REJECT tcp -- * * 212.222.91.24 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
10827 650K REJECT tcp -- * * 212.222.91.63 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 212.222.0.0/212.222.255.255 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 62.50.41.0/62.50.41.255 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
3029 133K REJECT tcp -- * * 212.227.87.97 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
24 1440 REJECT tcp -- * * 81.201.117.21 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
12 720 REJECT tcp -- * * 216.36.54.141 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 216.36.54.141 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 62.27.57.0/62.27.57.255 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
995 59700 REJECT tcp -- * * 202.213.221.203 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 58.8.106.188 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 62.27.57.0/62.27.57.255 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 212.222.91.0/212.222.91.255 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 81.92.112.0/81.92.115.255 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable

Du bekommst den Fehler wegen der Netzmaske weil 255 keine gültige Netzmaske ist. Du gibst mit der Maske an welche Bits "maskiert" werden, das kann maximal 32 Bit sein... du willst aber 24 Bit (255.255.255.0).

sorry, hab ich jetzt nicht ganz vestanden. wie muss es denn richtig lauten?

Falsch:


212.222.91.0/255

Richtig:


212.222.91.0/24

mfg
cane

sorry, hab ich jetzt nicht ganz vestanden. wie muss es denn richtig lauten?
Eventuell wäre es gar keine so dumme Idee wenn du dich mal mit Netzwerkgrundlagen befassen würdest. Schliesslich geht es bei IPTables um nichts anderes als das Netzwerk und du wirst dir selber einen grossen Gefallen tun wenn du auch "weisst" was du da konfigurierst.

Just my 5 Cents:
Generell wuerde ich bei einer Firewall per Default ALLES Droppen (Nicht Rejecten!), und dann einzelne IPs oeffnen.

Just my 5 Cents:
Generell wuerde ich bei einer Firewall per Default ALLES Droppen (Nicht Rejecten!), und dann einzelne IPs oeffnen.

Da hast aber bei nem Server, der im Internet steht, und per se erstmal von jedem erreichbar sein soll verdammt viel zu tun mit dem Freigeben... ;)

Edit:
Auf Port-Ebene macht man das schon mal. Alle Ports zu, und nur die öffnen, die wirklich gebraucht werden. Das ist aber auch eine Glaubens-Frage. ;)
Ports offen lassen, weil eh kein Dienst lauscht vs. Port dicht machen.
Genau so wie reject vs. drop.

Ich könnte ja jetzt gemein sein und fragen, wieso man "unbedingt" droppen und bloß nicht rejecten soll, die Antwort darauf wird sicher lustig (nicht nur aber besonders bei einem Server).

(OK, ein "guter" Grund wäre, daß man dann den einen "fühlbaren" Unterschied hat, daß da auch wirklich ein Paketfilter läuft, weil dieser die Pakete wegwirft anstatt die Arbeit auf den Ports, die -bis auf die Ports der gewünschten Dienste eh zu sein sollten- das OS erledigen zu lassen.)

hi,

ich wuerde einfach das hier machen.

iptables -A INPUT -s 62.27.57.0/24 -p tcp -m tcp --dport 25 -j DROP

cu chris