On 2004-05-19, krzysiek wrote:
> "mam problem" to stare jak świat....
>
> chce zablokowac GG , cale moje polaczenie zamyka sie w 1 pliku
> tresc
> #! /bin/sh
[never mind]
> #---------------------------------------------------------------------------
> -------#blokowanie GG dla konkretnego hosta -----niedziala
> /usr/sbin/iptables -A INPUT -s 130.0.7.101 -p tcp -d 217.17.41.0/24 --dport
> 8074 -j DROP
> /usr/sbin/iptables -A INPUT -s 130.0.7.101 -p udp -d 217.17.41.0/24 --dport
> 8074 -j DROP
> /usr/sbin/iptables -A INPUT -s 130.0.7.101 -p tcp -d 217.17.41.0/24 --dport
> 443 -j DROP
> /usr/sbin/iptables -A INPUT -s 130.0.7.101 -p udp -d 217.17.41.0/24 --dport
> 443 -j DROP
> /usr/sbin/iptables -A INPUT -s 130.0.7.101 -p tcp -d 217.17.41.0/24 --dport
> 1550 -j DROP
> /usr/sbin/iptables -A INPUT -s 130.0.7.101 -p udp -d 217.17.41.0/24 --dport
> 1550 -j DROP
> /usr/sbin/iptables -A INPUT -s 130.0.7.101 -p tcp -d 217.17.33.0/24 --dport
> 8074 -j DROP
> /usr/sbin/iptables -A INPUT -s 130.0.7.101 -p udp -d 217.17.33.0/24 --dport
> 8074 -j DROP
> /usr/sbin/iptables -A INPUT -s 130.0.7.101 -p tcp -d 217.17.33.0/24 --dport
> 443 -j DROP
> /usr/sbin/iptables -A INPUT -s 130.0.7.101 -p udp -d 217.17.33.0/24 --dport
> 443 -j DROP
> /usr/sbin/iptables -A INPUT -s 130.0.7.101 -p tcp -d 217.17.33.0/24 --dport
> 1550 -j DROP
> /usr/sbin/iptables -A INPUT -s 130.0.7.101 -p udp -d 217.17.33.0/24 --dport
> 1550 -j DROP

Znaczy, wszystko co wchodzi na twoja maszyne z 130.0.7.101 i sie na niej
zatrzymuje, a jest kierowane do 217.17.*.*, jest DROPowane. To milo.
Z tym, ze nic, co jest kierowane do 217.17.*.*, nie zatrzymuje sie na
bramce, zatem lancuch INPUT jest tu nieadekwatny. Ja bym zastosowal
FORWARD albo ktorykolwiek z tabeli nat.

#v+
/usr/sbin/iptables -A FORWARD -s 130.0.7.101 -d 217.17.41.0/24 -j DROP
/usr/sbin/iptables -A FORWARD -s 130.0.7.101 -d 217.17.33.0/24 -j DROP
#v-

I nie baw sie w blokowanie pojedynczych portow, bo ominales bodajze 80.

--
Stanislaw Klekot
Received on Fri Aug 27 18:51:54 2004