Iptables Script

Rund um die Sicherheit des Systems und die Applikationen
redhat99
Posts: 112
Joined: 2003-02-17 12:58
Location: Meckenheim

Iptables Script

Post by redhat99 » 2003-10-17 11:10

Hallo,

mal eine Frage zu iptables scripten. Ich habe für mich ein Iptables script erstellt, das auch gut funktioniert.

Nun ist meine Frage, ich möchte Ports für einen Ipadressbereich freischalten? Wie bekomme ich das hin?

Bei Ports habe ich es so hinbekommen:

schnipp ...

##### Variablen deklarieren

## Pfad zu IPTABLES
IPTABLES=/sbin/iptables

# Netzwerkarten
DEV_EXT=eth0
DEV_INT=eth1
DEV_DMZ=eth2

# andere
p_low=1:1023
p_high=1024:65535
p_ssh=1000:1023
TRACE_S_PORTS=32769:65535
TRACE_D_PORTS=33434:33523

schnipp ...

und dann so:

$IPTABLES -A FORWARD -i $DEV_EXT -o $DEV_DMZ -p tcp -d 0.0.0.0/0 -s ftp.redhat.com -j ACCEPT
$IPTABLES -A FORWARD -i $DEV_DMZ -o $DEV_EXT -p tcp -s 0.0.0.0/0 -d ftp.redhat.com -j ACCEPT

schnipp ...


Kann ich das hinbekommen, das ich einen Bereich von bis festlege?

also z.B.: 1.2.3.10-1.2.3.20 ?

Also oben festlegen und dann mit $ einsetzen? mit -s 1.2.3.10-1.2.3.20 hat es nicht geklappt...

Gruss Mario :P

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Iptables Script

Post by captaincrunch » 2003-10-17 13:07

Stichwort : CIDR, also z.B. 192.168.0.0/24

Das ganze hat zwar nichts direkt mit dem Rootie zu tun, da das aber auch interessant für andere sein könnte (die der Meinung sind, unbedingt einen Paketfilter zu brauchen), lasse ich den Thread hier drin.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

redhat99
Posts: 112
Joined: 2003-02-17 12:58
Location: Meckenheim

iptables Script

Post by redhat99 » 2003-10-17 14:18

hmmm, mit 192.168.0.0/24 gebe ich doch das ganze 192.168.0.1- 192.168.0.254 an ... oder?

ich brauche aber wirklich nur 10 Adressen...

Ich dachte es geht hier um Linuxfragen allgemein, habe zwar nen Rootserver, aber dieses Problem hab ich mal im lokalen Netzwerk...

8O

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Iptables Script

Post by captaincrunch » 2003-10-17 14:30

Die /24er-Maske war auch nur ein Beispiel. Mit genau diesen Netzmasken kannst du (mehr oder weniger) genaue Einschränkungen vornehmen. Ich würde dir daher eine Maske von /28 vorschlagen, damit hättest du eine Range von 14 IPs (plus eine Adresse für's Netz und eine für den Broadcast).
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

redhat99
Posts: 112
Joined: 2003-02-17 12:58
Location: Meckenheim

Iptables Script

Post by redhat99 » 2003-10-17 15:03

Achso, gut dann werde ich mich damit mal schlau machen. :-)

Danke Dir!


Gruss Mario

redhat99
Posts: 112
Joined: 2003-02-17 12:58
Location: Meckenheim

iptables script

Post by redhat99 » 2003-10-17 15:54

hmm man kann das etwas eingrenzen, leider nicht ganz auf den genauen Bereich.

Wenns interessiert: http://www.salesianer.de/util/subnet.html

Dort kann man sich den Bereich errechnen. Hab nicht probiert ob iptables eine solche Eingabe in kombination mit -s / -d akzeptiert, denke aber doch ....

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Iptables Script

Post by captaincrunch » 2003-10-17 16:42

Hab nicht probiert ob iptables eine solche Eingabe in kombination mit -s / -d akzeptiert, denke aber doch ....
Du liegst richtig. Genau so würde IPTables das übernehmen.

PS. : Warum hast du den Link so "verschleiert" ? Solche Sachen fallen jedenfalls nicht unter unser "Werbeverbot", sondern sind auch für andere sehr nützlich. Ich habe den Link daher mal geradegebogen
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc