ipchains - probublavani user-defined chainy - dotaz

Ing. Pavel PaJaSoft Janousek janousek na fonet.cz
Středa Listopad 15 17:49:19 CET 2000 

> >       Chtel jsem si nechat packety probublavat jednotlivymi user-defined
> > chainy presne tak, jak IMHO packet cestuje...:
> >
> > ISP -> vse co se mi objevi na A.B.C.D -> chain_ABCD
> > chain_ABCD -> co je pro rozsah E.F.G.H/27 -> chain_EFGH
> > chain_EFGH -> co je pro IP adresi E.F.G.H1 -> chain_EFGH1
> 
> A kdyz to pujde obracene, tak jak? chain_EFGH1, chain_EFGH a chain_ABCD?!

	Presne... ale v tuto chvili mne filtrovani odchoziho netrapi... (BTW
switch '-b' jsem zatim nepouzival)

> 
> >       Bohuzel, nedeje se tak, ac mam pravidla vytvorena nasledovne:
> > (E.F.G.H/27 je treba 147.229.10.160/27 a E.F.G.H_1/32 je napr.
> > 147.229.10.161)
> >
> > ipchains -N chain_ABCD
> > ipchains -N chain_EFGH
> > ipchains -N chain_EFGH1
> > ipchains -I input -j chain_ABCD
> > ipchains -I chain_ABCD -d E.F.G.H/27 -j chain_EFGH
> > ipchains -I chain_EFGH -d E.F.G.H_1/32 -j chain_EFGH1
> >
> >       Bohuzel, veskery provoz, ktery monitoruji (ac na E.F.G.H_1, E.F.G.H_2
> > atd. se bez problemu dostanu) je pouze INPUT -> chain_ABCD a chain_ABCD
> > -> patricny port (napr. omezovaci pravidlo). Mam dva zavery - ipchains
> 
> Co znamena "patricny port"? Ve vyse uvedenem prikladu zadne porty nejsou?!
> Nebo tam mate jeste jina pravidla, se kterymi jste se nepochlubil?

	Prirozene napr.:

ipchains -A chain_EFGH -d E.F.G.H_1/32 <port> -p tcp -j <ACCEPT/REJECT>

apod. ale vzhledem k tomu, ze pakety 'nedolezou' ani do chain_EFGH,
nepovazoval jsem v tuto chvili za nutne je specifikovat. Jedine, co v
tuto chvili je skutecne 'funkcni' (resp. berou se v potaz) jsou pravidla
v chain_ABCD napr.
ipchains -A chain_ABCD -d E.F.G.H/32 53 -p udp -j REJECT
ipchains -A chain_ABCD -d E.F.G.H/32 22 -p tcp -j REJECT

,ale pokud mam:
ipchains -A chain_EFGH_1/32 53 -p <udp/tcp> -j REJECT

tak se na DNS na dany stroj bez problemu dostanu (proste to temito
pravidly (packet) vubec neprochazi a z mne zahadneho duvodu to opousti
filtrovaci mechanismy davno drive nez by melo...:-()

-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)                 FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet          Anenska 11, 602 00  Brno
E-mail: mailto:Janousek na FoNet.Cz             Tel.: +420  5  4324 4749
SMS:    mailto:P.Janousek na SMS.Paegas.Cz      Fax.: +420  5  4324 4751
WWW:    http://WWW.FoNet.Cz/               E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------

Další informace o konferenci Linux