Moin Bernd,
Ich muss ein Testsystem aufsetzen, auf das externe Projektpartner von aussen Zugriff haben. Anmeldung geschieht per ssh und Schlüsselpäärchen. Ich würde den externen gerne unterbinden, in unserem Netz rumzuschnüffeln. Deshalb möchte ich gerne den Zugriff auf alle IP's unseres Netzes ausser dem NS und den GW unterbinden. Dazu müsset die SuSE-FW ja in der Lage sein. Fragen: 1. Geht das noch mit yast oder muss ich mich da mit iptables rumschlagen ?
Du kannst auch iptables direkt nutzen, geht schneller und auch etwas einfacher. :-)
2. Falls das nur mit iptables geht, wo liegt bei SLES10 die Datei, inder die Regeln definiert sind ?
Ich habe mit folgendem Szenario getestet: 192.168.1.1 - Router / Gateway (frei) 192.168.1.2 - interner Rechner (gesperrt) 192.168.1.3 - interner Rechner (frei) 192.168.1.4 - interner Rechner (gesperrt) 192.168.1.5 - restriktiver Rechner (SSH-User dürfen internes Netz (Intranet) nicht besuchen, aber externes Netz (Internet) ist erlaubt) ;-) # iptables -A OUTPUT -d 192.168.1.1 -j ACCEPT # iptables -A OUTPUT -d 192.168.1.3 -j ACCEPT # iptables -A OUTPUT -m iprange --dst-range 192.168.0.0-192.168.255.255 -j DROP Zuerst definiere ich die erlaubten IPs, danach knalle ich eine komplette IP-Reihe in iptables rein, wo die User nix zu suchen haben. (Heinz hat ja eine Doku per Link geschickt, aber leider wird nicht auf die IP-Range eingegangen) Wahlweise kann man auch bei den o.g. freien IPs nur bestimmte Ports freischalten und die restlichen Ports sperren. # iptables -nv -L Kannst du sämtliche Regeln einer Chain auflisten lassen. (Heinz hat schon dazu was gesagt) Die Regel kannst du auch ziemlich simple löschen: # iptables -D OUTPUT 3 Hier löschst du die 3. Regel in der Kategorie OUTPUT. So klappt es bei mir. Mag sein, dass es eine nicht so grasse Methode gibt, aber wenigstens bin ich so auf der sicheren Seite. Man möge mich korrigieren, wenn es eine bessere Methode gibt bzw. ich falsch liegen könnte. ;-) -- Gruß Sebastian - openSUSE Member (Freespacer) http://de.opensuse.org/Benutzer:Freespacer Wichtiger Hinweis zur openSUSE Mailing Liste: http://de.opensuse.org/OpenSUSE_mailing_list_netiquette -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org