DC, netradio stb... tiltása iptables-szel

Sziasztok!

Adott egy natolt hálózat ahol szeretném letiltani az összes fájlmegosztó program működését, meg netrádiózást meg ilyenek.
Arra gondoltam, hogy letiltom a szerveren a külső interface-en kifelé tartó összes csomagot, aminek a cél portja 1024-nél nagyobb.
Gondolván ezzel megoldanám a problémát:
iptables -A OUTPUT -o $EXTINT -p tcp --dport na itt akadtam el, mer' nem tudok rájönni, hogy lehetne egy ilyen portcsoportot megadni (mármint, hogy 1024-nél nagyobb).
Légyszíves segítsen aki tud, illetve ordítson le, ha égtelen baromságot akarok csinálni, és ő sokkal jobb megoldást tud erre a problémára :)

1208 megtekintés

Szia,

Az OUTPUT lanc azokra a csomagokra vonatkozik amelyeknek a forrasa maga a gep, tehat ha a belso halozatrol akarod tiltani a portokat akkor a FORWARD lancot kell hasznalnod, valahogy igy:

iptables -A FORWARD -s 192.168.0.0/24 --dport 1024:xxxx -j DROP

Persze a belso halozat cimet es a portszamot behelyetesited a sajat adataiddal.

Egy masikelegansabb megoldas az hogy alapertelmezetben tiltasz mindent es csak azt engeded el amit akarsz.

0 szavazat

A hozzászóláshoz be kell jelentkezni

Hi!

En ugy csinalom, hogy minden olyan szolgaltatasnak NATolok kulon, ami kell. A tobbi csomaggal meg nem csinalok semmit. DC, torrent, akarmi leall azonnal.

Bar az erdekelne, hogy az ftpnek hogy lehet kulon NATolni.

By(t)e
TBS::Antiemes

0 szavazat

A hozzászóláshoz be kell jelentkezni

NATolod a 20-as es 21-es portot?

0 szavazat

A hozzászóláshoz be kell jelentkezni

Hi!

Persze.

By(t)e
TBS::Antiemes

0 szavazat

A hozzászóláshoz be kell jelentkezni

Szia!

Nem tudom, hogy ez így menne -e, mert az FTP-nek kell egy adatcsatorna is (még passzív módban is). Azt meg én pl. 30000:30100 közé szoktam tenni. És akkor ezt így nem éred el. Ráadásul a passzív porttartomány megválasztása önkényes.

0 szavazat