blocke ich damit eine kompleete ip range

[fhilgers]

oder ist da ein fehler drinn.

habe das b siher so in iptables drinne stehen

Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 66.28.0.0/16 anywhere
DROP all -- 66.28.0.0/16 anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

für info wäre ich dankbar.

[smur]

Die Antwort lautet ja: du blockst damit komplett 66.28.0.0/16 für Incoming. Ergo is nich viel mit TCP Verbindungen dorthin..

Gruß,
Nico

[captaincrunch]

Ergo is nich viel mit TCP Verbindungen dorthin..

<erbsenzählerei>
Genauer gesagt: mit TCP-Verbindungen von dort.
</erbsenzählerei>

;)

[smur]

<klugscheiss>sowohl als auch da der handshake nie funktionieren wird und somit keine Verbindung zustande kommt, egal in welche Richtung</klugscheiss> :P

Grüssle,
Nico

[gonzo_ac]

1 zu 0 für smur :lol:

[captaincrunch]

Nicht wirklich...jedenfalls nicht, wenn man sich die iptables-Rules mal genauer ansieht. Da geht's nun einmal nur um die Source-Adressen, und ich glaube kaum, dass ausgehende Verbindungen vom Rechner des OP die INPUT-Table jemals mit einer dieser Source-Adressen passieren werden.

Daher bleibe ich dabei, dass seine Aussage falsch ist. ;)

[smur]

Klär mich bitte auf, sollte ich mich irren. TCP Handshake:

A sendet SYN Paket an B
B sendet SYN/ACK an A
A sendet ACK an B

-> die Verbindung steht.

Egal ob der Rechner des OP nun A oder B ist, der Handshake scheitert entweder im ersten oder zweiten Schritt. Und da ich eine TCP-Verbindung als Verbindung _nach_ dem Handshake verstehe(TCP ist ein verbindungsorientiertes Protokoll, vorher existiert keine Verbindung) kann keine TCP-Verbindung zwischen A und B zustande kommen. Comments?

[rootmaster]

zwischen A und B zustande kommen. Comments?

schon mal was von syn-flooding gehört ??

dann wirste verstehen, was CC meint ;)

"back to the roots"

[smur]

Nicht nur gehört, auch selbst x-fach erlebt. Dann hakts wohl wirklich an der Definition. Denn ich meinte mit meiner ursprünglichen Aussage vollwertige TCP Verbindungen. Dass SYN-Flood in diesem Fall geht ist klar ;)

[captaincrunch]

Mir ging's erstmal nicht um Syn-Flooding, sondern (wie bereits oben geschrieben) ums erbsenzählen. Die Regel per IPTables besagt, dass Verbindungen in der Input-Table mit Source-Adresse a.b.c.d rejected werden. So sagt's die Regel nun einmal.
Dass dabei dann auch der umgekehrte Weg nicht mehr funktionieren wird, kann in diesem Fall halt ein angenehmer Nebeneffekt sein, ist aber augenscheinlich nicht das Ziel des OP. Aus diesem Grunde wollte ich deine Aussage einfach noch einmal in die richtige Richtung lenken.

So, und bevor demnächst auch jede meiner hier geschriebenen Silben auf die Goldwaage gelegt werden, halte ich jetzt wohl besser den Rand. ;)

[smur]

Glaube jetzt ist klar was wir beide gemeint haben. Soweit so gut *g* :D