sslug-teknik team mailing list archive

Thread
Date

Re: ipchains

To: sslug-teknik@xxxxxxxx
From: Henrik "St�" <henrik@xxxxxxx>
Date: 21 Sep 2002 14:29:54 GMT
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: Linux Users Inc.
User-agent: nn/6.6.4

In <3D8C7BCE.904241A8@xxxxxxxxxx> Atte André Jensen <atte@xxxxxxxxxx> writes:

[adgang til webserver udefra]

>[root@silkeborg root]# ipchains -A input -p tcp -j ACCEPT -s 0/0 -d 0/0 http -y

>Hvilket giver:

>[root@silkeborg root]# ipchains -L
>Chain input (policy ACCEPT):
>target     prot opt     source         destination        ports
>DENY       udp  ----l-  anywhere       anywhere           any->   0:1023
>DENY       tcp  ----l-  anywhere       anywhere           any->   0:1023
>DENY       tcp  -y--l-  anywhere       anywhere           any->   any
>DENY       icmp ----l-  anywhere       anywhere           echo-request
>ACCEPT     tcp  -y----  anywhere       anywhere           any->   www

Du har fat i det rigtige, men rækkefølgen af reglerne er vigtig:
Den første regel der matcher er den der bliver effektueret, så
din ACCEPT for www bliver aldrig brugt, fordi den kommer efter den
generelle regel om at SYN-pakker (-y) skal afvises.

Så du skal blot have din http regel først, så virker det.
-- 
Henrik Storner <henrik@xxxxxxx>

Follow ups

Re: ipchains
From: Atte André Jensen, 2002-09-21

References

ipchains
From: Atte André Jensen, 2002-09-21