Hallo zusammen, ich nutze SuSE 10.3 mit SuSEFirewall2. Wie kann ich dort eine IP Adressen sperren so das diese nicht mehr auf den Server kommt? Frank -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag, 31. März 2008 18:36:05 schrieb Frank Palvölgyi: Hallo Frank,
ich nutze SuSE 10.3 mit SuSEFirewall2. Wie kann ich dort eine IP Adressen sperren so das diese nicht mehr auf den Server kommt?
1. Was nennst Du einen Server? (Home-PC ?) 2. Bietest Du Dienste nach aussen an? Wenn ja, welche und warum? 3. Falls Du keine Dienste anbietest, nenne doch bitte die IP bzw. den Grund zum Sperren. Ich vermute eher, Dich nervt eine Broadcast- oder Multicast-IP, oder die "provisorische" IP beim Booten? Ohne naehere Infos wird Dir niemand helfen koennen. Die SuSEFirewall2 ist nach der Standardinstallation eigentlich erstmal dicht. MfG Th. Moritz -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Thomas, Thomas Moritz schrieb:
1. Was nennst Du einen Server? (Home-PC ?) 2. Bietest Du Dienste nach aussen an? Wenn ja, welche und warum? 3. Falls Du keine Dienste anbietest, nenne doch bitte die IP bzw. den Grund zum Sperren.
Ich vermute eher, Dich nervt eine Broadcast- oder Multicast-IP, oder die "provisorische" IP beim Booten? Ohne naehere Infos wird Dir niemand helfen koennen. Die SuSEFirewall2 ist nach der Standardinstallation eigentlich erstmal dicht.
1 und 3. Ich habe einen Server der als Dienst Samba, Apache, MySQL anbietet. 2. Der Server steht bei uns in der Firma im internen Netz. Von einer bestimmten IP Adresse kommt laufend ein Connect auf den Server per SSH und Apache. Und die Kollegen bekommen es nicht auf die Reihe das abzustellen. Jetzt will ich die Schotten für diese eine IP zumachen. Soll heißen der komplette Server soll für diese IP Adresse nicht mehr erreichbar sein. Ist leider von hinten durch die Brust aber bei denen läuft das Thema unter wenn mal Zeit ist. Frank -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag, 31. März 2008 19:18:39 schrieb Frank Palvölgyi: Hallo Frank,
1 und 3. Ich habe einen Server der als Dienst Samba, Apache, MySQL anbietet.
2. Der Server steht bei uns in der Firma im internen Netz.
Von einer bestimmten IP Adresse kommt laufend ein Connect auf den Server per SSH und Apache. Und die Kollegen bekommen es nicht auf die Reihe das abzustellen. Jetzt will ich die Schotten für diese eine IP zumachen. Soll heißen der komplette Server soll für diese IP Adresse nicht mehr erreichbar sein. Ist leider von hinten durch die Brust aber bei denen läuft das Thema unter wenn mal Zeit ist.
Kommt ein Connect, oder ein abgewiesener Versuch von der "bestimmten" IP im Log? Schau Dir bitte mal das File: "/etc/sysconfig/scripts/SuSEfirewall2-custom" an. Hier kannst Du Deine speziellen Einstellungen vornehmen. Das Script musst Du dann nur noch aktivieren. Stichwort: "FW_CUSTOMRULES" Nach dem "restart" der Firewall solltest Du mit "iptables -L" nachschauen, was Du angestellt hast! PS.: Hier gibt es kein "Probieren geht ueber Studieren!" Du solltest schon genau wissen, was Du machst! MfG Th. Moritz -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Thomas, Thomas Moritz schrieb:
Schau Dir bitte mal das File: "/etc/sysconfig/scripts/SuSEfirewall2-custom" an. Hier kannst Du Deine speziellen Einstellungen vornehmen. Das Script musst Du dann nur noch aktivieren. Stichwort: "FW_CUSTOMRULES" Nach dem "restart" der Firewall solltest Du mit "iptables -L" nachschauen, was Du angestellt hast!
Danke. Klappt wunderbar. Frank -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag, 31. März 2008 schrieb Frank Palvölgyi:
Hallo zusammen,
ich nutze SuSE 10.3 mit SuSEFirewall2. Wie kann ich dort eine IP Adressen sperren so das diese nicht mehr auf den Server kommt?
Frank
Hallo Frank So wie von Thomas bereits erwähnt, sollte eher der Service auf Deinem Rechner konfiguriert werden, anstatt eine IP über die Firewall auszusperren. Trotzdem sollte es Möglich sein Deine firewall entsprechend zu konfigurieren. Schau Dir doch mal die /etc/sysconfig/SuSEfirewall2 an. Da gibt es so viel versprechende Einträge wie FW_SERVICES_DROP_EXT="" FW_SERVICES_REJECT_EXT="" Hier könntest Du dann nach dem Muster xxx.xxx.xxx.xxx,tcp,port eine bestimmte IP aussperren. Die selbe IP für verschiedene Services aussperren geht auch xxx.xxx.xxx.xxx,tcp,port1 xxx.xxx.xxx.xxx,tcp,port2 Gruß Micha -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag, 31. März 2008 20:54:38 schrieb Michael Schueller: Hallo zusammen,
ich nutze SuSE 10.3 mit SuSEFirewall2. Wie kann ich dort eine IP Adressen sperren so das diese nicht mehr auf den Server kommt?
Hallo Frank
So wie von Thomas bereits erwähnt, sollte eher der Service auf Deinem Rechner konfiguriert werden, anstatt eine IP über die Firewall auszusperren. Trotzdem sollte es Möglich sein Deine firewall entsprechend zu konfigurieren. Schau Dir doch mal die /etc/sysconfig/SuSEfirewall2 an. Da gibt es so viel versprechende Einträge wie
FW_SERVICES_DROP_EXT="" FW_SERVICES_REJECT_EXT=""
Hier waere REJECT zu bevorzugen.
Hier könntest Du dann nach dem Muster xxx.xxx.xxx.xxx,tcp,port eine bestimmte IP aussperren. Die selbe IP für verschiedene Services aussperren geht auch
xxx.xxx.xxx.xxx,tcp,port1 xxx.xxx.xxx.xxx,tcp,port2
Eigentlich ist diese IP-"Filterung" ziemlich sinnlos! Wer sagt denn, das der entsprechende User morgen noch diese IP hat? Die ist schneller geaendert, als Du Deine Firewall editiert hast :-) MAC-bezogen ist zwar auch nicht unumgehbar, bedarf aber schon etwas mehr Einarbeitung. man iptables sagt: mac --mac-source [!] address Match source MAC address. It must be of the form XX:XX:XX:XX:XX:XX. Note that this only makes sense for packets coming from an Ethernet device and entering the PREROUTING, FORWARD or INPUT chains. Zu ueberlegen waere noch, ob man nicht per Script die Route ins Nirvana, oder auf was Neckiges setzt :-) Sollten die Details vom "nervenden" Rechner bekannt sein, koennte man auch ein "init 0" zurueckschicken. [ seidenn es geht um den Chef :-) ] MfG Th. Moritz -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Am Dienstag, den 01.04.2008, 11:19 +0200 schrieb Thomas Moritz:
Am Montag, 31. März 2008 20:54:38 schrieb Michael Schueller:
Zu ueberlegen waere noch, ob man nicht per Script die Route ins Nirvana, oder auf was Neckiges setzt :-) Sollten die Details vom "nervenden" Rechner bekannt sein, koennte man auch ein "init 0" zurueckschicken. [ seidenn es geht um den Chef :-) ]
wieso? Gerade dort zeigt es Wirkung. Wenn er es erst einmal als _sein_ Problem erkannt hat ist er auch bereit für Abhilfe zu sorgen. ;-)) (OK, kann schief gehen, aber IT-Leute werden immer noch gesucht)
MfG Th. Moritz Gruß Johannes
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Thomas, Thomas Moritz schrieb:
Eigentlich ist diese IP-"Filterung" ziemlich sinnlos! Wer sagt denn, das der entsprechende User morgen noch diese >IP hat? Die ist schneller geaendert, als Du Deine Firewall editiert hast :-) MAC-bezogen ist zwar auch nicht >unumgehbar, bedarf aber schon etwas mehr Einarbeitung.
die IP ist fest bzw. diese wird sich nicht so schnell ändern. Denn das ist ein Server der sich immer connected. Frank -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (4)
-
Frank Palvölgyi -
Johannes Kapune -
Michael Schueller -
Thomas Moritz