sslug-teknik team mailing list archive

Thread
Date

Re: ipchains

To: sslug-teknik@xxxxxxxx
From: Atte André Jensen <atte@xxxxxxxxxx>
Date: Sat, 21 Sep 2002 17:09:18 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: SSLUG

"Henrik Størner" wrote:
> 
> In <3D8C7BCE.904241A8@xxxxxxxxxx> Atte André Jensen <atte@xxxxxxxxxx> writes:
> 
> [adgang til webserver udefra]
> 
> >[root@silkeborg root]# ipchains -A input -p tcp -j ACCEPT -s 0/0 -d 0/0 http -y

> Du har fat i det rigtige, men rækkefølgen af reglerne er vigtig:
> Den første regel der matcher er den der bliver effektueret, så
> din ACCEPT for www bliver aldrig brugt, fordi den kommer efter den
> generelle regel om at SYN-pakker (-y) skal afvises.
> 
> Så du skal blot have din http regel først, så virker det.

Med

ipchains -I input 1 -p tcp -j ACCEPT -s 0/0 -d 0/0 http -y

kommer regelen til at stå først, men der er stadig ingen kontakt udefra.
Overrider de DENY'er længere nede ikke den ACCEPT jeg laver i linje 1?

Er det uklogt at smide de to tcp-DENY'er væk? Eller ville det være bedre
(det ville det vel) at have Chain input policy sat til DENY og så
speceficere hvad som må gå igennem med ACCEPT linjer?

-- 
peace, love & harmony
Atte

References

ipchains
From: Atte André Jensen, 2002-09-21
Re: ipchains
From: St�, 2002-09-21