Page 1 of 1
blocke ich damit eine kompleete ip range
Posted: 2004-09-29 12:06
by fhilgers
oder ist da ein fehler drinn.
habe das b siher so in iptables drinne stehen
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 66.28.0.0/16 anywhere
DROP all -- 66.28.0.0/16 anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
für info wäre ich dankbar.
Re: blocke ich damit eine kompleete ip range
Posted: 2004-10-01 01:56
by smur
Die Antwort lautet ja: du blockst damit komplett 66.28.0.0/16 für Incoming. Ergo is nich viel mit TCP Verbindungen dorthin..
Gruß,
Nico
Re: blocke ich damit eine kompleete ip range
Posted: 2004-10-01 08:04
by captaincrunch
Ergo is nich viel mit TCP Verbindungen dorthin..
<erbsenzählerei>
Genauer gesagt: mit TCP-Verbindungen
von dort.
</erbsenzählerei>
;)
Re: blocke ich damit eine kompleete ip range
Posted: 2004-10-01 14:05
by smur
<klugscheiss>sowohl als auch da der handshake nie funktionieren wird und somit keine Verbindung zustande kommt, egal in welche Richtung</klugscheiss> :P
Grüssle,
Nico
Re: blocke ich damit eine kompleete ip range
Posted: 2004-10-01 20:10
by gonzo_ac
1 zu 0 für smur :lol:
Re: blocke ich damit eine kompleete ip range
Posted: 2004-10-02 08:15
by captaincrunch
Nicht wirklich...jedenfalls nicht, wenn man sich die iptables-Rules mal genauer ansieht. Da geht's nun einmal nur um die Source-Adressen, und ich glaube kaum, dass ausgehende Verbindungen vom Rechner des OP die INPUT-Table jemals mit einer dieser Source-Adressen passieren werden.
Daher bleibe ich dabei, dass seine Aussage falsch ist. ;)
Re: blocke ich damit eine kompleete ip range
Posted: 2004-10-02 14:01
by smur
Klär mich bitte auf, sollte ich mich irren. TCP Handshake:
A sendet SYN Paket an B
B sendet SYN/ACK an A
A sendet ACK an B
-> die Verbindung steht.
Egal ob der Rechner des OP nun A oder B ist, der Handshake scheitert entweder im ersten oder zweiten Schritt. Und da ich eine TCP-Verbindung als Verbindung _nach_ dem Handshake verstehe(TCP ist ein verbindungsorientiertes Protokoll, vorher existiert keine Verbindung) kann keine TCP-Verbindung zwischen A und B zustande kommen. Comments?
Re: blocke ich damit eine kompleete ip range
Posted: 2004-10-02 14:13
by rootmaster
Smur wrote:zwischen A und B zustande kommen. Comments?
schon mal was von syn-flooding gehört ??
dann wirste verstehen, was CC meint ;)
"back to the roots"
Re: blocke ich damit eine kompleete ip range
Posted: 2004-10-02 14:45
by smur
Nicht nur gehört, auch selbst x-fach erlebt. Dann hakts wohl wirklich an der Definition. Denn ich meinte mit meiner ursprünglichen Aussage vollwertige TCP Verbindungen. Dass SYN-Flood in diesem Fall geht ist klar ;)
Re: blocke ich damit eine kompleete ip range
Posted: 2004-10-02 22:55
by captaincrunch
Mir ging's erstmal nicht um Syn-Flooding, sondern (wie bereits oben geschrieben) ums erbsenzählen. Die Regel per IPTables besagt, dass Verbindungen in der Input-Table mit Source-Adresse a.b.c.d rejected werden. So sagt's die Regel nun einmal.
Dass dabei dann auch der umgekehrte Weg nicht mehr funktionieren wird, kann in diesem Fall halt ein angenehmer Nebeneffekt sein, ist aber augenscheinlich nicht das Ziel des OP. Aus diesem Grunde wollte ich deine Aussage einfach noch einmal in die richtige Richtung lenken.
So, und bevor demnächst auch jede meiner hier geschriebenen Silben auf die Goldwaage gelegt werden, halte ich jetzt wohl besser den Rand. ;)
Re: blocke ich damit eine kompleete ip range
Posted: 2004-10-02 23:13
by smur
Glaube jetzt ist klar was wir beide gemeint haben. Soweit so gut *g* :D