Hallo Karsten, ich glaube, da habe ich mich wohl falsch ausgedrück.
Damit verbietest Du alles was nicht die destination 192.168.222.17/32 hat. Ist das die remote (PtP) Adresse des ippp1, nur dann kann da ueberhaupt noch was durchkommen ?
Eigentlich wollte ich mit der Anweisung erzwingen, das ippp1 nur auf die Adresse 192.168.222.17 zugreifen kann. ippp1 hat die Adresse 192.168.223.2. Ruft auf IPPP0 an und bekommt 192.168.223.2 ISDN-Anrufer---->ippp1 Auf dem Einwahlserver läuft im Moment MASQ. Jeder, der sich einwählt kann auf alles zugreifen. Filter MASQ ippp1----->ETH0--> Filter: Hier möchte ich jetzt z.B nur Anfragen von ippp1 zulassen, die z.B. nach 192.168.222.17 gehen. Alle anderen sollen in die Mülltonne Hm, damit verbiete ich ja allen dann, das forwarden.
Zuerst die default policy setzen (REJECT) ipchains -P forward REJECT Danach müßte ich dann für jedes Interface das forwarden wieder eraluben oder ?
Mit freundlichen Grüßen,
Best Regards,
Jörg Peters
Anygate GmbH
Tel. 02159-815119
jp@anygate.de
www.anygate.de
----- Original Message -----
From: "Karsten Keil"
On Wed, Jul 10, 2002 at 12:54:35PM +0200, Jörg Peters wrote:
Hallo Allesamt,
ich habe folgendes Problem und finde keine Lösung.
Wenn sich jemand in unser System Einwählt, soll er nur auf bestimmte Adressen, abhängig vom Login, in unserem Firmennetz zugreifen können. Der Einwahlserver verwendet Masq und besitzt nur eine IP.
Du solltest den forward chain benutzen.
Zuerst die default policy setzen (REJECT) ipchains -P forward REJECT Dann fuer diese Addresse forwarding erlauben, sowohl fuer in und out. ipchains -A forward -i ippp1 -p udp -b 192.168.222.17/32 -j ACCEPT ipchains -A forward -i ippp1 -p tcp -b 192.168.222.17/32 -j ACCEPT
folgendes habe ich ohne Erfolget versucht. Damit auf DNS zugegriffen werden kann ipchains -A output -i ippp1 -p udp domain -j ACCEPT ipchains -A output -i ippp1 -p tcp domain -j ACCEPT
Nur eine IP zulassen. ipchains -A output -i ippp1 -d 192.168.222.17/32 -j ACCEPT
Und sobald ich diese Regle dann setze, kann ich von ippp1 nicht mehr ipchains -A output -i ippp1 -j REJECT
Damit verbietest Du alles was nicht die destination 192.168.222.17/32 hat. Ist das die remote (PtP) Adresse des ippp1, nur dann kann da ueberhaupt noch was durchkommen ?
Habe schon versucht, anstatt ACCEPT MASQ einzusetzen. Aber dann krieg ich immer eine Fehlermeldung.
MASQ geht nur bei forward.
-- Karsten Keil SuSE Labs ISDN development
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-isdn-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-isdn-help@suse.com