sslug-teknik team mailing list archive

["Arvid Gregersen" <arvid@xxxxxxxxxx>]

nu kører ntop(FEDT program!!!), så det eneste jeg mangler er at fixe det der
quota problem. Som bonus info kan jeg indføje at jeg sagtens kan lave en
kvota regel hvis selvkæden er ACCEPT istedet for DROP, og jeg kan se at den
tæller ned. Hvis jeg ændrer policyen til DROP er der ingen
gennemstrømning...

Arvid

"Arvid Gregersen" <arvid@xxxxxxxxxx> wrote in message
news:b4tufu$lfa$1@xxxxxxxxxxxx...
> Nej jeg ville selvfølgelig kun masq'e det eksterne device eth1.
>
> Én ting ved jeg dog: teknik har langt fra 5000 subscribers -faktisk er det
> kun 534, men 1000 øjne er stadig langt bedre end 2 (specielt når de sidder
> på mig).
>
> men den der drop ting volder mig stadig store kvaler. Jeg har byttet om på
> den (dit argument lød meget rimeligt :-), men det virker stadigvæk ikke.
> Skal policyen måske være noget andet end drop? eller har jeg nogle andre
> regler der ødelægger det for mig?
>
> Arvid
>
>
>
>
> "Jesper Lund" <jesper@xxxxxxxxxxxxxx> wrote in message
> news:3560.212.242.51.102.1047686745.squirrel@xxxxxxxxxxxxxxx...
> > > -A INPUT -j RH-Lokkit-0-50-INPUT
> >
> > Putter alt traffik TIL maskinen i en anden kæde.
> >
> > > -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 25 --syn -j ACCEPT
> > > -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT
> > > -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT
> > > -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 21 --syn -j ACCEPT
> > > -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 110 --syn -j ACCEPT
> >
> > Opretter regler i den kæde.
> >
> > > -A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
> >
> > Accepter alt fra localhost
> >
> > > -A RH-Lokkit-0-50-INPUT -i eth0 -j ACCEPT
> >
> > Accepter alt fra eth0. Det er vel frohåbentligt dit interne interface ?
> >
> > > -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT
> > > -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT
> >
> > Smid alle forbindelser fra port 0 til port 1023 og 2049 væk.
> >
> > > -A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT
> > > -A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT
> >
> > Det samme for UDP
> >
> > > -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j
REJECT
> > > -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT
> >
> > Smid pakker til port 6000-6009 og port 7100 for TCP væk.
> >
> > > iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
> > > iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
> >
> > Slå MASQ til. Men på begge interfaces ? Det vil sige at trafik i begge
> > retninger bliver MASQ'ed. Er det med vilje ? Du lukker hele internettet
> > ind på dit net sådan
> >
> > > iptables -P FORWARD DROP
> > > iptables -A FORWARD -m quota --quota 967296 -s 192.168.1.3 -j ACCEPT
> >
> > Prøv at byt om på de to der. Så skal du se løjer. Du starter med at
lukke
> > alt trafik ude. Og så når du ikke at skrive den næste regel ind. Derfor
er
> > der ikke noget der virker.
> >
> > Eller også er det så sent jeg ikke kan tænke klart mere i aften.... :)
> >
> > //JEsper
> >
> >
> >
> >
>
>
>
>