iptables/ipchains/hosts(deny/allow) - Linux en overige clients

vrijdag 18 oktober 2002 18:04

Acties:

-= Tja =-

Topicstarter

Ik ben wat door mijn linux boek aan het bladeren over firewalls en het afschermen van mijn systeem. Ik ben daarbij iptables tegen gekomen en ipchains. Hiermee kan je rules opstellen over wat er met pakketten moet gebeuren. Ik snap hoe die regels in elkaar zitten, maar wat is hier het configuratie bestand voor? En iptables is weer beter dan ipchains heb ik uit de tekst omgemaakt, klopt dit?

En als ik toch al iptables heb, wat is dan het nut van de hosts|hosts.allow|hosts.deny files? Ik kan dit toch ook al regelen in de iptables?

vrijdag 18 oktober 2002 18:15

Acties:

Kees

Serveradmin / BOFH / DoC

ipchains = 2.2.x kernels (en als je perse wilt: 2.4.x)
iptables = 2.4.x kernels (kan meer dan ipchains)

Rules insert je inde firewall door middel van het aanroepen van iptables (en/of ipchains

)
/usr/sbin/iptables -A INPUT -s ip.dat.je.wil.bannen -j DROP

Hosts.deny/allow wordt alleen door tcpwrappers gebruikt like (x)inetd. meer info in de man.

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

vrijdag 18 oktober 2002 18:17

Acties:

Alarmnummer

-= Tja =-

Topicstarter

aha.. ik kan dus een willekeurige file als rule file opgeven en die met dat commando inladen (zo`n vermoeden had ik al). Zijn er nog conventies voor de locatie en naam van dat rule-bestand?

vrijdag 18 oktober 2002 18:57

Acties:

Kees

Serveradmin / BOFH / DoC

hmmjah, dat rule bestand moet je natuurlijk wel even bekijken hoe dat eruit ziet

vaak is het namelijk gewoon een bash script die je meteen kan uitvoeren zodat de rules in de iptables gezet worden.

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

maandag 23 december 2002 20:55

Acties:

eXhale

Om maar ff gebruik te maken van dit topic

/usr/sbin/iptables -A INPUT -s ip.dat.je.wil.bannen -j DROP

das duidelijk, maar wat nu als je b.v
10.1.1.1-25 als Lan hebt, en wilt 10.1.1.25-253 bannen.. hoe doe je dat dan?

maandag 23 december 2002 23:54

Acties:

deadinspace

The what goes where now?

eXhale schreef op 23 december 2002 @ 20:55:
Om maar ff gebruik te maken van dit topic
/usr/sbin/iptables -A INPUT -s ip.dat.je.wil.bannen -j DROP

das duidelijk, maar wat nu als je b.v
10.1.1.1-25 als Lan hebt, en wilt 10.1.1.25-253 bannen.. hoe doe je dat dan?

Je kunt afaik alleen IP ranges opgeven mbv bitmasks, dus bijvoorbeeld

code:

1 2	iptables -A INPUT -s 192.168.1.0/255.255.255.0 -j DROP iptables -A INPUT -s 192.168.1.0/24 -j DROP

(beiden doen hetzelfde).

dinsdag 24 december 2002 00:50

Acties:

Buffy

Fire bad, Tree pretty

Je zult dus meerdere regels moeten gebruiken maar niet 229 regels.
Drop regels met de volgende bitmask zijn voldoende

Bitmask	IP ranges
.00011001	10.1.1.25/32
.00011010	10.1.1.26/31
.00011100	10.1.1.28/30
.00100000	10.1.1.32/27
.01000000	10.1.1.64/26
.10000000	10.1.1.128/26
.11000000	10.1.1.192/27
.11100000	10.1.1.224/28
.11110000	10.1.1.240/29
.11111000	10.1.1.248/30
.11111100	10.1.1.252/31

Wat je ook kan doen is een extra chain maken die niks doet met de "goede" ip's:

code:

iptables -N drop25tm253
iptables -A drop25tm253 -s 10.1.1.8/29    -j RETURN
iptables -A drop25tm253 -s 10.1.1.20/30   -j RETURN
iptables -A drop25tm253 -s 10.1.1.24/32   -j RETURN
iptables -A drop25tm253 -s 10.1.1.254/31  -j RETURN 
iptables -A drop25tm253 -s 10.1.1.0/24    -j DROP

_{PS: dan heb je ook eentje nodig voor de destination ip's}

[ Voor 12% gewijzigd door Buffy op 24-12-2002 01:16 ]

That which doesn't kill us, makes us stranger - Trevor (AEon FLux)
When a finger points at the moon, the imbecile looks at the finger (Chinese Proverb)