Moin! Ich versuche mich jetzt schon seit mehr als einer Stunde an folgendem ipchains-Problem: Saemtlicher TCP-Verkehr von einer bestimmten Quelle (REMOTE_IP) soll an eine andere lokale IP (LOCAL_IP) als die gewuenschte IP auf Port 80 weitergeleitet werden. Hintergrund: Ich habe meine Firewall fuer bestimmte IPs + Subnetze dicht gemacht, da von dort regelmaessig Portscans kamen. Sollte in diesen Subnetzen nun doch mal ein "guter Mensch" sitzten, so solle er zumindest per WWW eine Infoseite bekommen, warum er die eigentlich angeforderte WWW-Seite nicht einsehen kann. Im Klartext: Saemtlichen TCP-Verkehr (nur nur auf 80 !!!) der Remote IP auf eine lokale IP auf Port 80 umleiten. Ich dachte mir das eigentlich so, aber es funkt. nicht ("no chain by that name"): ipchains -A hacker -j REDIRECT 80 -p TCP -s REMOTE_IP/0 -d LOCAL_IP/0 80 ipchains ... und hier wird der ganze Rest verboten. ipchains Version: ipchains 1.3.8, 27-Oct-1998 Thanx Marcus ______________________________________ (0> Marcus Schopen //\ Bielefeld, Germany V_/_ ______________________________________ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Marcus Schopen schrieb:
Moin!
Ich dachte mir das eigentlich so, aber es funkt. nicht ("no chain by that name"):
ipchains -A hacker -j REDIRECT 80 -p TCP -s REMOTE_IP/0 -d LOCAL_IP/0 80 ipchains ... und hier wird der ganze Rest verboten.
Denkfehler!!! Zuerst alles verbieten, dann die erlaubten Sachen freischalten! Probier mal folgendes: 1. Alles verbieten. 2. Deine Hacker-Regel #> ipchains -N hacker #Neue Chain erzeugen... #> ipchains -A hacker -j REDIRECT 80 -p TCP -s REMOTE_IP/0 -d LOCAL_IP/0 80 oder gleich in die input chain einfügen #> ipchains -A input -j REDIRECT 80-p TCP -s REMOTE_IP/0 -d LOCAL_IP/0 80 3. Erlaubte Services freischalten Die Anordnung ist wichtig! Es wird nämlich immer nur solange geprüft, bis eine Regel gefunden wurde die zutrifft, d.h. wenn du die Umleitungsregel hinter die normale Freischaltung für http setzt, wir dnie auf sie geprüft werden und sie werden auch nicht umgeleitet! Kann sein, das die ipchains Befehle so noch nicht ganz stimmen, aber ich hab im Moment keine Rechte es auszupropieren. Im Zweifelsfall man ipchains oder /usr/doc/en/IPCHAINS-HOWTO.gz bemühen ;-) hope that helps Daniel "Fengor" Brachmann --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (2)
-
9d@cosmosdirekt.de
-
suse-linux@barton.jura.uni-bielefeld.de