Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Fidder
Зарегистрирован: 02.05.2002 Сообщения: 77 Откуда: Ставрополь
|
Добавлено: Пн Май 06 2002 18:26 Заголовок сообщения: ipchains??? |
|
|
Скажите плз как настроить ipchains?? а именно вход только с определённого IP и только на определённый порт...)) Зарание благодарен. |
|
Вернуться к началу |
|
 |
Dmitry.Karpov http://www. Гость
|
Добавлено: Пн Май 06 2002 19:31 Заголовок сообщения: Re: ipchains??? |
|
|
Три правила: 1) пропускать established; 2) пропускать с данного IP-адреса на данный порт; 3) запретить всем все; Причем именно в такой последовательности.
Только так оно работать не будет, ибо надо разрешить еще loopback/localhost, а также потребуется открыть и другие соединения (нп=апример, DNS). |
|
Вернуться к началу |
|
 |
Fidder
Зарегистрирован: 02.05.2002 Сообщения: 77 Откуда: Ставрополь
|
Добавлено: Пн Май 06 2002 19:44 Заголовок сообщения: Re: ipchains??? |
|
|
А по подробней о трё правилах: как их поставить, и что конкретно надо ещё сделать шаг за шагом...))ПЛЗ.. скажи .. |
|
Вернуться к началу |
|
 |
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пн Май 06 2002 21:14 Заголовок сообщения: Чиста конкретный пример (+) |
|
|
Открываем доступ к FTP-сервису с IP-адреса 10.10.10.1
Наш IP 100.100.100.1
ipchains -A input -s 10.10.10.1 -d 100.100.100.1 20:21 -j ALLOW
ipchains -A output -s 100.100.100.1 20:21 -d 10.10.10.1 -j ALLOW
Запрещаем все остальное. ipchains -A input -s 0/0 -d 0/0 -j DENY ipchains -A forward -s 0/0 -d 0/0 -j DENY |
|
Вернуться к началу |
|
 |
Dmitry.Karpov http://www. Гость
|
Добавлено: Вт Май 07 2002 10:40 Заголовок сообщения: RTFM! |
|
|
Read The F...... Manual!
Надо в одном из rc-файлов (это что-то типа autoexec.bat) выполнить три команды ipchains с соотвествующими аргументами. Я не работал с Linux, а во FreeBSD это выглядит примерно так: ipfw add 100 pass all from any to any via lo0 ipfw add 200 deny all from any to 127.0.0.0/8 ipfw add N1 pass tcp from any to any established ipfw add N2 pass from IP-адреса to any данный_порт ipfw add 65000 deny all from any to any
Вместо N1 и N2 надо подставить номерА правил (200<N1<N2<65000). Я обычно использую числа в районе от пятисот до тысячи. Но при таком раскладе запрещенным оказывается доступ к самомУ серверу-роутеру-файрволу, а для него надо прописывать отдельные правила на основании отдельных соображений. |
|
Вернуться к началу |
|
 |
|