iptables ip komplett sperren trotz vorheriger regel

**xJAMESx** · 28.12.11, 14:29

Hallo,
kann ich irgentwie auf meinem Server eine IP-Adresse, bzw. einen Range sperren, wenn ich vorher alle Verbindungen zugelassen habe?

Also es werden vorher alle Verbindungen erlaubt, aber eine IP wird IMMER gedroppt.
Wenn ich diese IP eintrage, kann sie immernoch eine Verbindung mit dem Server eingeben.

Normal müsste ich doch in den IP-Tables jede ip/port einzelnd erlauben oder?

MFG

Roger Wilco · 28.12.11, 14:47

Zitat von xJAMESx

kann ich irgentwie auf meinem Server eine IP-Adresse, bzw. einen Range sperren, wenn ich vorher alle Verbindungen zugelassen habe?

Ja, das geht. Du musst die Regel lediglich eintragen, bevor du alle Verbindungen erlaubst. Die Regeln werden nacheinander durchlaufen.

Zitat von xJAMESx

Normal müsste ich doch in den IP-Tables jede ip/port einzelnd erlauben oder?

Das kommt ganz auf deine Regelsätze an.

PS: http://de.wiktionary.org/wiki/einzeln

**xJAMESx** · 28.12.11, 14:50

Erstmal danke für die schnelle Antwort.
Kann ich die Position, in der die Regeln stehen, selber festlegen, bzw verschieben etc?

Roger Wilco · 28.12.11, 14:51

Zitat von xJAMESx

Kann ich die Position, in der die Regeln stehen, selber festlegen, bzw verschieben etc?

Ja, warum auch nicht? Irgendwo wirst du ja ein paar Aufrufe von `iptables` stehen haben. Deren Ordnung kannst du doch verändern, oder?

**derRichard** · 28.12.11, 14:54

Zitat von xJAMESx

Hallo,
kann ich irgentwie auf meinem Server eine IP-Adresse, bzw. einen Range sperren, wenn ich vorher alle Verbindungen zugelassen habe?

Also es werden vorher alle Verbindungen erlaubt, aber eine IP wird IMMER gedroppt.

"iptables -A" vs. "iptables -I"

//richard

**framp** · 28.12.11, 15:09

Zitat von xJAMESx

Erstmal danke für die schnelle Antwort.
Kann ich die Position, in der die Regeln stehen, selber festlegen, bzw verschieben etc?

Leider geht es nicht dass man Positionen angibt. Die Reihenfolge der iptables Regeln entscheidet sowie ob Du -A (append) oder -I (insert) benutzt. -A haengt am Ende der Regeln an waehrend -I an Anfang der Regeln einfuegt. Wenn Du also schon fertige Regelsaetze hast musst Du nur mit -I die einzelne IP blocken.

**derRichard** · 28.12.11, 15:11

Zitat von framp

Leider geht es nicht dass man Positionen angibt.

warum sollte das nicht gehen?

Code:

       -I, --insert chain [rulenum] rule-specification
              Insert  one  or more rules in the selected chain as the given rule number.  So, if the rule number is 1, the rule or
              rules are inserted at the head of the chain.  This is also the default if no rule number is specified.

       -R, --replace chain rulenum rule-specification
              Replace a rule in the selected chain.  If the source and/or destination names resolve  to  multiple  addresses,  the
              command will fail.  Rules are numbered starting at 1.

//richard

**xJAMESx** · 28.12.11, 15:18

Okay, jetzt weißt ich wei es geht, vielen dank

Eine frage noch, kann ich mit netstat die mac Adresse einer Verbindung mir anzeigen lassen? Also wenn ich die IP habe.

**derRichard** · 28.12.11, 15:24

Zitat von xJAMESx

Okay, jetzt weißt ich wei es geht, vielen dank

Eine frage noch, kann ich mit netstat die mac Adresse einer Verbindung mir anzeigen lassen? Also wenn ich die IP habe.

würde mich sehr wundern weil nicht garantiert ist, dass jede verbindung über ethernet kommt.
in 99% alles fälle würdest du dann ja die mac von deinem router sehen...

//richard

**framp** · 28.12.11, 15:25

Zitat von derRichard

warum sollte das nicht gehen?...

Oha - das war mir nicht bekannt. Man lernt eben nie aus

**xJAMESx** · 28.12.11, 15:29

Zitat von derRichard

würde mich sehr wundern weil nicht garantiert ist, dass jede verbindung über ethernet kommt.
in 99% alles fälle würdest du dann ja die mac von deinem router sehen...

//richard

Das reicht ja, da man die dann Sperren kann. MAC ist halt eindeutiger als IP. So kann man diesen möchtegern TeamSpeak Hacker die MAC sperren in den IPTables und nicht die IP, die die ganze zeit geändert werden kann.

**derRichard** · 28.12.11, 15:31

Zitat von xJAMESx

Das reicht ja, da man die dann Sperren kann. MAC ist halt eindeutiger als IP. So kann man diesen möchtegern TeamSpeak Hacker die MAC sperren in den IPTables und nicht die IP, die die ganze zeit geändert werden kann.

im internet gibt es keine mac-adressen.
darum wirst du ja dann immer nur die mac von deinem router sehen.

mach deinen teamspeak-server doch einfach nur noch via vpn erreichbar.

//richard

**xJAMESx** · 28.12.11, 15:33

Meine TeamSpeak Server benutzen ja nicht nur ich und meine Freunde, da sind sehr viele leute drauf, und bei jedem dann ne VPN einzurichten, wobei die Leute das eh nicht verstehen.

So muss man halt den Server etwas besser absichern^^.
Naja, in ein paar Jahren hat sich IPv6 eingelebt, hoffe ich

**kreol** · 28.12.11, 20:37

Hoffentlich hast Du Dich dann auch in die Welt der Netzsicherheit eingelebt...

Nur btw: Auch MACs lassen sich ändern. Ob Dein Klientel das aber kann, wenn es mit VPN schon überfordert ist...

Kreol

**framp** · 28.12.11, 20:42

Zitat von derRichard

im internet gibt es keine mac-adressen.
darum wirst du ja dann immer nur die mac von deinem router sehen...

Wie schon derRichard schrieb - eine Mac wirst Du nicht mehr sehen. Das ist ein NetzwerkLayer unter Dir. Dein Filtering muss und kann nur auf IP Ebene funktionieren.