sslug-teknik team mailing list archive

[donald_j_axel <donax@xxxxxxxxxx>]

On Wed, 20 Oct 2004 17:49:31 +0200
Jesper wrote:

> >    ...              Der startes altid med en forbindelse på
> > port 1720, og derefter 5555-5560 samt 2326-2365. Jeg vil dog
> > helst kun
> > 
> > tillade at forwarde fra disse port ranges ind til video 
> > konference anlægget hvis der allerede er lavet en forbindelse 
> > på port 1720.
> >
> > Hvordan sætter jeg det op i iptables?

Det er rigtigt som tidligere foreslået, at du kan (skal) bruge
connection tracking. Typisk vil du have defineret en chain,
som identificerer input fra externt net, og så løber det igennem
regler af stigende komplexitet, så dem der tager mindst tid står
forrest, eller dem, der oftest "hitter" står forrest. Alle pakker
indefra har du jo så for sig selv på OUTPUT chain og der lader
du alt passere.

Så tilføjer du en linie som nedenst.:

iptables -A mychain -m state --state ESTABLISHED,RELATED  -j ACCEPT

# kommentar:
-A mychain: Tilføj til din hjemmelavede regelkæde, her kaldet mychain
-m state:   Brug connection tracking modulet
--state ESTABLISHED,RELATED : altså, hvis 


iptables -A door1 -j DROP
# kommentar: Dropper alt andet end det, som du har sagt god for.


> Du kan prøve at kigge på "recent" modulet til iptables. Det kan
> gøre lige præcis det du ønsker.

Det vidste jeg ikke, at man havde! God oplysning. Men jeg kan ikke
lige finde dokumentation i man-page for iptables.

Men -m state kan som sagt godt klare at der etableres kontakt på et
andet portnummer, d.v.s. at der åbnes en ny socket, fra en extern
server i forbindelse med en kommunikation, som stadig er i gang.


-- 
donald_j_axel donax snabela get2net.dk -- http://d-axel.dk/