Fixip ipchainsban

Linux-haladó

Fixip ipchainsban

  • 752 megtekintés

( jamal | 2004. 03. 05., p – 12:15 )

Hali mindenkinek.
Van egy kis hálózatom s szeretném benne megoldani, hogy csak néhány ip-t lehessen használni az egész tartományból.
Tehát ki szeretnék osztani fix ipket s ne lehessen az hogy a kliensek csak randomra bármilyen ip-t használjanak. s mindezt ipchainssal.

( Sallus | 2004. 03. 05., p – 12:52 )

Nem teljesen ertheto a kardes. Azt szeretned, hogy bizonyos IP cimeket egyaltalan ne lehessen hasznalni a halozatodon, vagy csak adott IPvel lehessen kimenni a netre vagy...valamit felre ertek?
S.

( jamal | 2004. 03. 05., p – 13:13 )

Ja bocs pl.: 100.100.100.xxx tartományból csak a .010 ig engedélyezem atöbbit meg ki tiltom hogy azokat ne lehessen használni

( Névtelen (nem ellenőrzött) | 2004. 03. 05., p – 13:44 )

Szia !

Nagyjából értem mit szeretnél van néhány ötletem.

I. ne az ipchainst használd hanem az IPTABLES-t, 2004-et írunk...:))

aztán adott egy 192.168.200.0/24-es hálózati tartomány, namost hogy ne tudjanak a kliensek felvenni egy akármilyen ip-t a gépükre, ahhoz egy egyszerű és primitív megoldást használhatunk ez pedig az IPALIASING, tehát
felveszed a 192.168.200.0/24 felé néző kártyára azokat az ip-ket amiket nem engedélyezel a kliens felé pl.: igy:

ifconfig eth0:0 192.168.200.2
ifconfig eth0:1 192.168.200.3
ifconfig eth0:2 192.168.200.4 és így tovább ez a néhány sor azt eredményezi
a windowsos klienseknél hogy kap egy szép hibaüzentet amenyiben az aliasolt ip-t be akarja állítani : "ip ütközés a hálózaton, forduljon a rendszergazdához stb.,stb.," tehát nem tudja felveni.

aztán

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

ezekkel alapértelmezettként letiltasz mindent ami él és mozog a hálózaton.

aztán

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

ezek szerintem nem igényelnek magyarázatot

aztán

iptables -A FORWARD -j ACCEPT # engedélyez minden forwardot

iptables -A INPUT -s 192.168.200.kliensgépip -j ACCEPT # ezzel engedélyezed az adott klienstől a hozzáférést a szerver felé

iptables -t nat -A POSTROUTING -s 192.168.200.kliensgépip -o ppp0 -j MASQUERADE # akkor ppp0 ha adsl-ed van kifelé ha nem akkor ethx ami a net felé néz, ezzel tudod kiereszteni a népet a netre .

hirtelen más nem jut eszembe...:))

( Névtelen (nem ellenőrzött) | 2004. 03. 05., p – 13:48 )

ja bocs a végére kell egy ilyen

iptables -A OUTPUT -j ACCEPT # a szerverről mehet kifelé minden.

azt hozzá kell tennem, hogy ezek a beállítások biztonságtecnikailag egyenlőek a nullával, csak a bitlapátolásra jók....:))

remélem sikerül vele megoldanod a gebaszt.

csáááááááááá.

( Sallus | 2004. 03. 05., p – 13:51 )

Ha az a cel, hogy a netre ne tudjanak kimenni adott gepek a halozatrol, akkor a tuzfalon minden gepre kulon:
ipchains -A output -s 100.100.100.xxx -j REJECT

Egyebkent ilyen esetben talan celszerubb kisebb tartomanyt hasznalni (persze, csak ha erre van lehetoseg), peldaul:

16db IP cim -> 192.168.1.0/28
ebben az esetben 192.168.1.0-as cim a halozat, 192.168.1.15-os cim a broadcast, kioszthato ip cimek 192.168.1.1-tol 192.168.1.14-ig.
debian eseteben az /etc/network/interfaces-ben igy kell felkonfiguralni peldaul az eth0-as eszkozt:
auto eth0
iface eth0 inet static
address 192.168.1.1 # a gep ip cime
netmask 255.255.255.240 # halozati maszk
network 192.168.1.0 # a halozat cime
broadcast 192.168.1.15 # es broadcast cim

Udv,
S

ps.: es lehet, hogy meg mindig nem ertettem meg a kerdest es akkor nem ez a valasz :)

( jamal | 2004. 03. 05., p – 14:43 )

Kösziszépen.
Lehet, hogy áttérek iptablesra de most Sallus megoldása sokkal egy szerűbnek tünik. sJa s azt megtudom csinálni ipchainssal :))