[an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive]
 
[an error occurred while processing this directive] [an error occurred while processing this directive]
Skåne Sjælland Linux User Group - http://www.sslug.dk Home   Subscribe   Mail Archive   Forum   Calendar   Search
MhonArc Date: [Date Prev] [Date Index] [Date Next]   Thread: [Date Prev] [Thread Index] [Date Next]   MhonArc
 

Iptables problem



Mit netværk er bestående af 4 computere. 3 klienter og en server, som kører
Redhat 9.0. Den har også 2 netkort, eth0 er lokal netværket og eth2 har
forbindelse til internettet.

Jeg har et problem, da jeg ønsker at blokerer kazaa, som bruger port 1214
(tcp). Det er ikke noget problem at blokere den, så den ikke forwaredes, men
problemet er, at brugeren på netværket stadig kan sidde og downloade fordi
de forskellige personer han henter fra bruger en random port fra 1024 - 4999
som indgående porte. Jeg har samme problem, at hvis jeg blokere et helt
range:

iptables -A FORWARD -i eth0 -p tcp -m tcp --dport 1024:4999 -j DROP
iptables -A FORWARD -i eth2 -p tcp -m tcp --dport 1024:4999 -j DROP
iptables -A FORWARD -i eth0 -p udp -m udp --dport 1024:4999 -j DROP
iptables -A FORWARD -i eth2 -p udp -m udp --dport 1024:4999 -j DROP

Så kan jeg ikke surfe, eller noget andet, fordi explorer bruger en random
port indenfor det range, når der surfes og serveren vil oprette forbindelse
tilbage til personen på det lokale netværk.
Jeg forklare det sikkert ret dårligt, men jeg har prøvet at illustrere hvad
det er jeg ønsker her:

Vi antager at en bruger vil logge på www.newz.dk og bruger derfor port 80,
når han efterspørger fra det lokale netværk ud på internettet. Vi siger at
kún port 80 er åben.

iptables -A FORWARD -i eth0 -p tcp -m tcp --dport 20:79 -j DROP
iptables -A FORWARD -i eth2 -p tcp -m tcp --dport 20:79 -j DROP
iptables -A FORWARD -i eth0 -p udp -m udp --dport 20:79 -j DROP
iptables -A FORWARD -i eth2 -p udp -m udp --dport 20:79 -j DROP
iptables -A FORWARD -i eth0 -p tcp -m tcp --dport 81:65535 -j DROP
iptables -A FORWARD -i eth2 -p tcp -m tcp --dport 81:65535 -j DROP
iptables -A FORWARD -i eth0 -p udp -m udp --dport 81:65535 -j DROP
iptables -A FORWARD -i eth2 -p udp -m udp --dport 81:65535 -j DROP

Serveren siger det er ok og vil oprette en forbindelse tilbage til brugeren,
som er en random port i intervallet 1024-4999, men dette kan jo ikke lade
sig gøre.
Er det muligt, at blockerer alt, pånær port 80 fra klient ---> internet og
have 1024-4999 åben fra internet ---> klient?
F.eks.:

iptables -A FORWARD -s eth0 -d eth2 -p tcp -m tcp --dport 20:79 -j DROP
iptables -A FORWARD -s eth0 -d eth2 -p udp -m udp --dport 20:79 -j DROP
iptables -A FORWARD -s eth0 -d eth2 -p tcp -m tcp --dport 81:65535 -j DROP
iptables -A FORWARD -s eth0 -d eth2 -p udp -m udp --dport 81:65535 -j DROP

iptables -A FORWARD -s eth2 -d eth0 -p tcp -m tcp --dport 1024:4999 -j
ACCEPT
iptables -A FORWARD -s eth2 -d eth0 -p udp -m udp --dport 1024:4999 -j
ACCEPT
iptables -A FORWARD -s eth2 -d eth0 -p tcp -m tcp --dport 1024:4999 -j
ACCEPT
iptables -A FORWARD -s eth2 -d eth0 -p udp -m udp --dport 1024:4999 -j
ACCEPT

Jeg ved godt eksemplet ikke er realistisk, det er mere for at give et
indtryk af, hvad der menes.

Jeg har valgt at vedhæfte mit script, og når i nu finder de sikkert
hundredevis af fejl der er, så må i lige give mig en besked.

På forhånd tak.
Rune Johannesen


 
Home   Subscribe   Mail Archive   Index   Calendar   Search

 
 
Questions about the web-pages to <www_admin>. Last modified 2005-08-10, 20:47 CEST [an error occurred while processing this directive]
This page is maintained by [an error occurred while processing this directive]MHonArc [an error occurred while processing this directive] # [an error occurred while processing this directive] *