sslug-teknik team mailing list archive
-
sslug-teknik team
-
Mailing list archive
-
Message #32862
Re: Sv: Porte til MASQ
"Anders K. Pedersen" wrote:
> > Gør det noget at bruge 61000-65095 som local port range også (i
> > /proc/sys/net/ipv4/ip_local_port_range)?
> > Det regner jeg ikke med, men vil gerne lige være helt sikker.
>
> NEJ! ipchains koden i 2.2 kerner regner med, at den har fuld råderet
> over alle porte mellem 61000 og 65095 og undersøger ikke, om de skulle
> være brugt af andre programmer på maskinen, så disse porte må *ikke*
> være med i ip_local_port_range.
Øhh, så forstår jeg enten ikke hvorfor min firewall virker, eller ozze
hvorfor jeg har problemer med visse udp-replies, så jeg må have en lidt
for generel udp regel.
Ligesom mange andre (Størner i sit ipchains eksempel på sslug, Ziegler i
Linux Firewall's...) sætter jeg portrange:
# Set local port range for listeners:
echo "56000 65096" >/proc/sys/net/ipv4/ip_local_port_range
Snip af ipchains -L -n :
Chain input (policy DENY):
target prot opt source destination
ports
ACCEPT tcp -y---- 0.0.0.0/0 0.0.0.0/0 20
-> 56000:65096
ACCEPT udp ----l- 0.0.0.0/0 0.0.0.0/0 53
-> 56000:65096
ACCEPT tcp ----l- 0.0.0.0/0 0.0.0.0/0 53
-> 56000:65096
--
Regards,
Mogens Valentin
Networking - Security - Programming
Linux configuration and troubleshooting
http://www.danbbs.dk/~monz - monz@xxxxxxxxx
Follow ups
References