LPRng a omezeni pristupu Re: Next hack :(

Petr Simek psimek na jcu.cz
Pátek Leden 19 09:45:46 CET 2001


On Fri, 19 Jan 2001, Milan Kerslager wrote:

> > # Reject any connections from outside our subnet
> > REJECT SERVICE=X NOT REMOTEIP=160.217.0.0/255.255.0.0
> >
> > prestartuju lprng a presto mi to z jine IP adresy umozni pripojeni pomoci
> > telnet stroj.domena.cz 515
> >
> > Chtel bych aby tam mohla jen sit 160.217.0.0
> 
> ipchains -A input -s ! 160.217.0.0/16 -d 0.0.0.0/0 515 -j REJECT -l
> ipchains -A input -s ! 160.217.0.0/16 -d 0.0.0.0/0 593 -j REJECT -l
> 
> Neslo by to takhle (tedy pokud to chcete odmitnout uz pri pripojeni k
> portu)?

nakonec jsem zjistil ze ono to LPRng asi odmita pracovat kdyz se to do te
konfigurace LPRng napise ale nezamita spojeni jako kdyz to jde pres
tcpwrapper - to mne zmatlo. Kazdopadne jsem to pres ten firewal nakonec
udelal pravidlem :

-A input -s ! 160.217.0.0/255.255.0.0 -d IP.stroje.kde.to.bezi/255.255.255.255 515:515 -p 6 -j DENY

Chtel bych se zeptat na tri veci - 

- je lepsi to -d 0.0.0.0/0 nebo to moje -d IP.stroje.kde.to.bezi/255.255.255.255 
   ma to nejaky nedostatek ?

- k cemu je ten zakaz na port 593 ? V services jsme ho nenasel a netstat -ap
  mi rika ze na nem nic nevisi.
 
- jak mate zarizeno aby se Vam ty pravidla natahly hned po startu ? Ja jsem
  si z RH 7 prekopirobval skript /erc/rc.d/init.d/ipchains (upravil v nem
  odkaz na funkce) a do /etc/sysconfig/ipchains jsem ulozil to pravilo
  prikazem ipchains-save . Nahodil jsem ho chkconfigem.


>                         Milan Kerslager


*------------------------------------------------------------------------*
|                          Petr Simek   APS JU                           |
|                             petrsi na jcu.cz                              |
*------------------------------------------------------------------------*



Další informace o konferenci Linux