LPRng a omezeni pristupu Re: Next hack :(
Petr Simek
psimek na jcu.cz
Pátek Leden 19 09:45:46 CET 2001
On Fri, 19 Jan 2001, Milan Kerslager wrote:
> > # Reject any connections from outside our subnet
> > REJECT SERVICE=X NOT REMOTEIP=160.217.0.0/255.255.0.0
> >
> > prestartuju lprng a presto mi to z jine IP adresy umozni pripojeni pomoci
> > telnet stroj.domena.cz 515
> >
> > Chtel bych aby tam mohla jen sit 160.217.0.0
>
> ipchains -A input -s ! 160.217.0.0/16 -d 0.0.0.0/0 515 -j REJECT -l
> ipchains -A input -s ! 160.217.0.0/16 -d 0.0.0.0/0 593 -j REJECT -l
>
> Neslo by to takhle (tedy pokud to chcete odmitnout uz pri pripojeni k
> portu)?
nakonec jsem zjistil ze ono to LPRng asi odmita pracovat kdyz se to do te
konfigurace LPRng napise ale nezamita spojeni jako kdyz to jde pres
tcpwrapper - to mne zmatlo. Kazdopadne jsem to pres ten firewal nakonec
udelal pravidlem :
-A input -s ! 160.217.0.0/255.255.0.0 -d IP.stroje.kde.to.bezi/255.255.255.255 515:515 -p 6 -j DENY
Chtel bych se zeptat na tri veci -
- je lepsi to -d 0.0.0.0/0 nebo to moje -d IP.stroje.kde.to.bezi/255.255.255.255
ma to nejaky nedostatek ?
- k cemu je ten zakaz na port 593 ? V services jsme ho nenasel a netstat -ap
mi rika ze na nem nic nevisi.
- jak mate zarizeno aby se Vam ty pravidla natahly hned po startu ? Ja jsem
si z RH 7 prekopirobval skript /erc/rc.d/init.d/ipchains (upravil v nem
odkaz na funkce) a do /etc/sysconfig/ipchains jsem ulozil to pravilo
prikazem ipchains-save . Nahodil jsem ho chkconfigem.
> Milan Kerslager
*------------------------------------------------------------------------*
| Petr Simek APS JU |
| petrsi na jcu.cz |
*------------------------------------------------------------------------*
Další informace o konferenci Linux