Bestimmte IPs für bestimmte Ports verbieten bzw. erlauben ?

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
S1X
Beiträge: 2
Registriert: 30.08.2006 22:47:28

Bestimmte IPs für bestimmte Ports verbieten bzw. erlauben ?

Beitrag von S1X » 30.08.2006 23:01:21

Hallo Boardis,

ich weiss nich ob ich bei euch richtig bin aber ich hoffe das ich hier eine Antwort finde.

Wie der Titel schon sagt möchte ich gerne besttimmte IP-Adressen an bestimmten Ports erlauben bzw verbieten.

Die IP XXX.XXX.XXX.XXX darf den Server über den Port XXXXX erreichen

aber

Alle anderen IPs möchte ich für diesen Port verbieten.

wie kann ich das lösen ?

Vielen Dank für eure Hilfe.

Gruß

S1X
Nach oben
killerhorse
Beiträge: 92
Registriert: 28.07.2004 17:13:51

Beitrag von killerhorse » 30.08.2006 23:37:46

Hallo,

Mit iptables.
Bsp:

Als Standart erstmal alles verbieten:

Code: Alles auswählen

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Loopback erlauben:

iptables -I INPUT -i lo -j ACCEPT
iptables -I OUTPUT -o lo -j ACCEPT


Dann alles was ausgehend erlaubt sein soll in diesem Fall z.B. http:

$iptables -I OUTPUT -o eth0 -p TCP --sport 1024:65535 --dport 80 -j ACCEPT
$iptables -I INPUT -i eth0 -p TCP --sport 80 --dport 1024:65535  -j ACCEPT


Für eingehende verbindungen das Ganze umgekehrt:

$iptables -I INPUT -i eth0 -p TCP --sport 1024:65535 --dport 80 -J ACCEPT
$iptables -I OUTPUT -o eth0 -p TCP --sport 80 --dport 1024:65535 -J Accept 


wenn z.B. nut die IP xxx.xxx.xxx.xxx Webserver erreichen können soll quetschst Du einfach noch -s oder --source bzw. -d bzw --destination mit der IP dazwischen:

$iptables -I INPUT -i eth0 -p TCP -s xxx.xxx.xxx.xxx --sport 1024:65535 --dport 80 -J ACCEPT
$iptables -I OUTPUT -o eth0 -p TCP --sport 80 -d xxx.xxx.xxx.xxx --dport 1024:65535 -J Accept 


Wenn der Server mehrere IPs hat und der entspr. Port für alle, aber eben nur auf dieser einen IP offen sein soll, vertauschst du -s und -d:

$iptables -I INPUT -i eth0 -p TCP --sport 1024:65535 -d xxx.xxx.xxx.xxx --dport 80 -J ACCEPT
$iptables -I OUTPUT -o eth0 -p TCP -s xxx.xxx.xxx.xxx --sport 80 --dport 1024:65535 -J Accept
So, im Grunde war das jetzt ein ganzes IP-Table HowTo in Kurzfssung, natürlich gibt es wesentlich mehr möglichkeiten weitere Infos unter "man iptables" und http://netfilter.org/

MfG

Christian

//Edit KBDCALLS Codetags eingefügt, Wegen besserer Leserlichkeit.
Nach oben
S1X
Beiträge: 2
Registriert: 30.08.2006 22:47:28

Beitrag von S1X » 31.08.2006 07:56:54

Das nenne ich mal eine schnelle Antwort. Iptables hatte ich auch schon in den Fingern, ich habe mich nicht getraut ;)

Vielen Dank !!
Nach oben
killerhorse
Beiträge: 92
Registriert: 28.07.2004 17:13:51

Beitrag von killerhorse » 31.08.2006 09:37:46

Hallo,

Hab ich noch vergessen:
Hier findest Du einen recht guten Script generator:

http://www.tobias-bauer.de/IPTables.25.0.html

Damit ist es ganz einfach ein vollständiges IPtables Scripts zuerstellen. Nur -s und -d und die IP musst du selbst hinzufügen.

MfG

Christian
Nach oben
nepos
Beiträge: 5238
Registriert: 05.01.2005 10:08:12

Beitrag von nepos » 31.08.2006 10:12:18

Zu weiteren Infos bzgl. iptables siehe auch http://www.netfilter.org
Da findest du auch einige hilfreiche HowTos und Tutorials.
Nach oben
killerhorse
Beiträge: 92
Registriert: 28.07.2004 17:13:51

Beitrag von killerhorse » 31.08.2006 16:31:50

Steht ja eh schon oben
Nach oben
Antworten

Zurück zu „weitere Dienste“