ip-adressen mit ipcop bannen |
||
---|---|---|
#0
| ||
22.07.2003, 12:11
...neu hier
Beiträge: 7 |
||
|
||
22.07.2003, 15:15
Ehrenmitglied
Beiträge: 831 |
#2
1.)Leite es einmal nach 127.0.0.1 um
2.) Sollte eigentlich funktionieren. Hast du deinen IPcop neu gestartet und die rc.fire* nicht im runlevel eingebunden? mfg p2k __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
||
22.07.2003, 16:48
...neu hier
Themenstarter Beiträge: 7 |
#3
Danke, mit 127.0.0.1 gehts Aber jetzt noch ne andere frage, wenn ich beispielsweise xyz.de sperre geht das zwar, aber abc.xyz.de ist wieder zugreiffbar. wie kann ich komplette domains sperren?
zu 2) vielleicht hab ich auch etwas falsch verstanden... sperrt das scribt die volle kommunikation zwischen den angegebenen ips und mir oder nur den zugriff von den ips zu mir? |
|
|
||
22.07.2003, 17:37
Ehrenmitglied
Beiträge: 831 |
#4
Nur den Zugriff zu dir.
-I INPUT mfg p2k __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
||
22.07.2003, 18:24
...neu hier
Themenstarter Beiträge: 7 |
#5
sorry für meine fragen, bin aber völliger firewall anfänger
wenn also der zugriff zu mir auf 123.123.123.123 (wie in dem script)gesperrt wird, kann ich ihn dann noch pingen? weil der host antwortet mir ja irgendwie... oder ist ping was ganz anderes? |
|
|
||
22.07.2003, 18:30
Ehrenmitglied
Beiträge: 831 |
#6
Du solltest die IP per icmp pingen können, aber eine Antwort darf nicht ankommen.
per tcpdump kannst du dies einfach nachprüfen ngrep icmp ist auch nett mfg p2k __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
||
22.07.2003, 18:47
...neu hier
Themenstarter Beiträge: 7 |
#7
wenn ich auf dem ipcop-pc 'iptables -I INPUT -p all -s 193.99.144.71 -d any/0 -j DROP' eingebe, bekomm ich von 193.99.144.71 keine antwort mehr. von jedem pc im grünen netz bekomm ich aber noch antworten auf ein ping 193.99.144.71. erlaubt ipcop also solche verbindungen, wenn sie von einem internen pc gewünscht sind?
|
|
|
||
23.07.2003, 02:43
Member
Beiträge: 5291 |
#8
@xartal
iptables -A INPUT -s 193.99.144.71 -j DROP Das ist der richtige Befehl für den netfilter, ist nicht ipcop bindend. Die Gründe sind: -I fügt die kette vorne rein -A hängt die kette hinten an Außerdem brauchst du weder -p noch -d zu nutzen weil du mit -s die ip ja sowieso schon vollkommen blockst. Dann das wichtigste ist OUTPUT demnach kannst du nicht mehr diese ip erreichen wenn die ip allerdings dich nicht erreichen soll dann stimmt natürlich INPUT. Allerdings sieht INPUT in dem falle schon richtig aus da ja keiner deiner clients diese ip erreichen soll. MFG Xeper __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
23.07.2003, 04:36
Member
Beiträge: 15 |
#9
Müsste das interne Netz nicht mit 'FORWARD' gefiltert werden? Ist bei meinem router jedenfalls so...
Dieser Beitrag wurde am 23.07.2003 um 04:49 Uhr von lagalopex editiert.
|
|
|
||
23.07.2003, 12:22
Member
Beiträge: 5291 |
#10
Hmm nun ja klar iptables -A FORWARD -s _ip_ -j DROP funktioniert auch. Aber zusätzlich noch INPUT am besten beides
__________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
23.07.2003, 14:33
...neu hier
Themenstarter Beiträge: 7 |
#11
besten dank für die hilfe!
kennt jemand von euch eine gute (am besten deutschsprachige) iptables infoseite? |
|
|
||
23.07.2003, 18:07
Member
Beiträge: 15 |
#12
man iptables:
Zitat COMPATIBILITY WITH IPCHAINS Also geht es nur mit FORWARD, jedenfalls bei iptables, sofern es nur um weitergeleitete Packete geht. Sollen auch vom router generierte Packete dahingehend gefiltert werden, müssen die selben Regeln auch in INPUT gesetzt werden. Dieser Beitrag wurde am 23.07.2003 um 18:09 Uhr von lagalopex editiert.
|
|
|
||
23.07.2003, 19:21
Member
Beiträge: 5291 |
#13
@xartal
Naja man iptables reicht doch oder Nein also schau mal hier: http://www.pl-forum.de/t_netzwerk/iptables.html @lagalopex Stimmt Pakete die weitergeleitet werden müssen kommen erst gar nicht in die INPUT chain. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
24.07.2003, 11:09
...neu hier
Themenstarter Beiträge: 7 |
#14
danke, genau so eine seite suchte ich.
|
|
|
||
Ich verwende IPcop 1.3 als Firewall mit Rot/Grün Konfiguration.
Nun möchte ich 1. (wie in http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopFAQ#Can_I_block_annoying_ads_ beschrieben) verschiedene ad-server blocken. Ich habe die Liste der Server nach /etc/hosts kopiert und auf 0.0.0.0 geleitet, kann aber leider immer noch auf die Server zugreifen. Der Proxyserver ist nicht aktiviert.
Und 2. möchte ich folgendes Script ausführen: http://www.flashdance.cx/files/rc.firewall.riaa Nach dem ausführen kann ich aber leider immer noch mit den aufgeführten Adressen kommunizieren. Muss ich da bei IPcop etwas spezielles beachten, wenn ich bestimmte IP-Adressen bannen will?
Besten Dank für Antworten