On Wed, Jul 10, 2002 at 02:00:12PM +0200, Jörg Peters wrote:
Hallo Karsten, ich glaube, da habe ich mich wohl falsch ausgedrück.
Damit verbietest Du alles was nicht die destination 192.168.222.17/32 hat. Ist das die remote (PtP) Adresse des ippp1, nur dann kann da ueberhaupt noch was durchkommen ?
Eigentlich wollte ich mit der Anweisung erzwingen, das ippp1 nur auf die Adresse 192.168.222.17 zugreifen kann. ippp1 hat die Adresse 192.168.223.2.
Ruft auf IPPP0 an und bekommt 192.168.223.2 ISDN-Anrufer---->ippp1
Auf dem Einwahlserver läuft im Moment MASQ. Jeder, der sich einwählt kann auf alles zugreifen.
Filter MASQ ippp1----->ETH0-->
Filter: Hier möchte ich jetzt z.B nur Anfragen von ippp1 zulassen, die z.B. nach 192.168.222.17 gehen. Alle anderen sollen in die Mülltonne
Hm, damit verbiete ich ja allen dann, das forwarden.
Zuerst die default policy setzen (REJECT) ipchains -P forward REJECT Danach müßte ich dann für jedes Interface das forwarden wieder eraluben oder ?
Normalerweise macht man das bei einer FW so (default ist reject, nur das darf durch was explizit erlaubt wird). Aber es geht auch anders: ipchains -A forward -i ippp1 -b -s 192.168.222.17/32 -j ACCEPT ipchains -A forward -i ippp1 -j REJECT Wichtig ist das -b (oder Du must die Rule einmal mit -s und einmal mit -d angeben). Ohne das ist der Trafic etwas einseitig. -- Karsten Keil SuSE Labs ISDN development