sslug-teknik team mailing list archive

[henrik@xxxxxxx (Henrik St�)]

In <20010828112531.39578.qmail@xxxxxxxxxxxxxxxxxxxxxxx> Mads Jacobsen <mads_jac@xxxxxxxx> writes:

>Min Linux-box (6.2 - 2.2.14 kerne)

Det er temmelig gammelt. Kig på at installere de opdateringer, 
som Red Hat har udsendt - især da du nu bruger den i en 
sikkerheds-kritisk funktion.

>Som det er nu, forwardes alle requests på port 6502
>uden undtagelser, og det er jo trods alt et rimeligt
>sikkerhedsbrist...
>Men jeg vil gerne have det sådan, at man kun kan komme
>igennem på den port hvis man kommer fra en specifik
>IP-adresse eller endnu bedre, MAC-adresse.

Med en 2.2 kerne kan du kun filtrere på IP adressen.  Det gør du med
ipchains regler, inden portfw reglerne.  Hvis du bruger
ipchains-firewallen, så har du formentlig en regel a la

  ipchains -A input -p tcp -d 0/0 6502 -j ACCEPT

for at tillade indgående trafik på port 6502. Det ændrer du blot til

  ipchains -A input -p tcp -s 12.34.56.78/32 -d 0/0 6502 -j ACCEPT

hvis IP adressen 12.34.56.78 skal have lov til at snakke med port
6502. Hvis du har flere IP adresser gentager du blot denne kommando
for hver IP adresse. Hvis det er et helt IP netværk, kan du bruge
angive source-IP som et net, f.eks.

  ipchains -A input -p tcp -s 192.168.0.0/24 -d 0/0 6502 -j ACCEPT

hvis alle med IP 192.168.0.* skal være tilladt.

Hvis du vil filtrere på MAC-adressen, skal du op på en Linux 2.4 kerne
med netfilter.
-- 
Henrik Storner <henrik@xxxxxxx> 

Jeg søger job! Se <URL:http://www.hswn.dk/job/>