← Back to team overview

sslug-teknik team mailing list archive

Re: libipt_quota.so mangler på trods af rekompilering

 

> -A INPUT -j RH-Lokkit-0-50-INPUT

Putter alt traffik TIL maskinen i en anden kæde.

> -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 25 --syn -j ACCEPT
> -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT
> -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT
> -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 21 --syn -j ACCEPT
> -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 110 --syn -j ACCEPT

Opretter regler i den kæde.

> -A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT

Accepter alt fra localhost

> -A RH-Lokkit-0-50-INPUT -i eth0 -j ACCEPT

Accepter alt fra eth0. Det er vel frohåbentligt dit interne interface ?

> -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT
> -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT

Smid alle forbindelser fra port 0 til port 1023 og 2049 væk.

> -A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT
> -A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT

Det samme for UDP

> -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT
> -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT

Smid pakker til port 6000-6009 og port 7100 for TCP væk.

> iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
> iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Slå MASQ til. Men på begge interfaces ? Det vil sige at trafik i begge
retninger bliver MASQ'ed. Er det med vilje ? Du lukker hele internettet
ind på dit net sådan

> iptables -P FORWARD DROP
> iptables -A FORWARD -m quota --quota 967296 -s 192.168.1.3 -j ACCEPT

Prøv at byt om på de to der. Så skal du se løjer. Du starter med at lukke
alt trafik ude. Og så når du ikke at skrive den næste regel ind. Derfor er
der ikke noget der virker.

Eller også er det så sent jeg ikke kan tænke klart mere i aften.... :)

//JEsper




Follow ups

References