Moin moin! Nachdem ich an der Sendmail-Konfig gescheitert bin, als ich das Relaying von aussen verbieten wollte, dachte ich mir: Ha, mach ichs mir halt einfach. Ich hab dann also in Sendmail das Relaying für alle aktiviert und Port 25 einfach von außen gesperrt. Da die Doku von ipchains ja nicht gerade sonderlich intuitiv ist (ich habe nach dem dritten Lesen begriffen, dass chain und target was Verschiedenes ist), frage ich lieber nochmal nach, ob der Aufruf so OK ist: ipchains -A input -i ippp0 -j DENY --destination-port 25 --proto tcp Wo ich dann dabei war, hab ich auch noch Ports 110 & 1080 auf dieselbe Weise gesperrt. Besser issas. Kann ich den ipchains-Aufruf jetzt so lassen? Ich habe schon getestet, es funktionierte alles so, wie es soll (lokal geht es noch, von einem anderen Rechner im Netz nicht mehr), aber wer weiß, vielleicht habe ich ja irgendwas übersehen. -- Andreas Reich ICQ #19338732 webmaster@cyraxx.de http://www.cyraxx.de/ webmaster-der-w@uerstchenbu.de http://w.uerstchenbu.de/ andreas@andreasreich.net http://www.gar-nichts.de/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Andreas Reich wrote:
ipchains -A input -i ippp0 -j DENY --destination-port 25 --proto tcp
Damit kommt auch von innen nach außen keine Verbindung zustande :-( Die Antwortpackete aus dem Internet kommen nicht rein. Es reicht den Verbindungsaufbau von außen zu sperren: ipchains -A input -i ippp0 -J DENY -dport 25 -y -p tcp
Wo ich dann dabei war, hab ich auch noch Ports 110 & 1080 auf dieselbe Weise gesperrt. Besser issas.
Geht genauso. Aber hast du denn auch einen pop3 server ? Warum sperrst Du nicht einfach jeden Verbindungsaufbau aus dem Inet ? ipchains -A input -i ippp0 -J DENY -p tcp -y Evtl. auch noch -l (logging), und REJECT statt DENY. -- __ _ Raymond Häb, ray.haeb@gmx.net, cologne, germany / / (_)__ __ ____ __ / /__/ / _ \/ // /\ \/ / . . . t h e c h o i c e o f a /____/_/_//_/\_,_/ /_/\_\ G N U g e n e r a t i o n . . . --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Raymond Haeb (ray.haeb@gmx.net) wrote: RH> Andreas Reich wrote:
ipchains -A input -i ippp0 -j DENY --destination-port 25 --proto tcp
RH> Damit kommt auch von innen nach außen keine Verbindung zustande :-( RH> Die Antwortpackete aus dem Internet kommen nicht rein. Es reicht den RH> Verbindungsaufbau von außen zu sperren: RH> ipchains -A input -i ippp0 -J DENY -dport 25 -y -p tcp Hm, bei mir geht Verbindungsaufbau nach außen noch. Der einzige Unterschied zwischen deiner und meiner Version ist ja das -y. Wenn ich statt destination-port 25 source-port 25 nehme, gehen keine Verbindungen nach außen mehr. Aber so klappts. Egal, werde -y trotzdem mal reinnehmen, schaden kanns nicht :)
Wo ich dann dabei war, hab ich auch noch Ports 110 & 1080 auf dieselbe Weise gesperrt. Besser issas.
RH> Geht genauso. Aber hast du denn auch einen pop3 server ? Klar, sonst wärs ja witzlos. RH> Warum sperrst Du nicht einfach jeden Verbindungsaufbau aus dem Inet ? RH> ipchains -A input -i ippp0 -J DENY -p tcp -y Weil das ganze ja ein Server ist und somit die meisten Dienste auch von außen erreichbar sein sollen. RH> Evtl. auch noch -l (logging), und REJECT statt DENY. Ich habe bewusst DENY statt REJECT genommen. -- Andreas Reich ICQ #19338732 webmaster@cyraxx.de http://www.cyraxx.de/ webmaster-der-w@uerstchenbu.de http://w.uerstchenbu.de/ andreas@andreasreich.net http://www.gar-nichts.de/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (2)
-
ray.haeb@gmx.net
-
webmaster@cyraxx.de