Port mit Iptables blocken

Phlow · 25.01.2002, 13:36

Folgendes Problem:

Ich möchte einen Port mit Iptables blocken, und zwar so das von meinem Router KEIN Traffic über diesen Port HINAUS kann.

Sprich:
Port xyz --> kein Traffic von meinem Router ins Internet möglich
Umgekehrt aber schon

müsste doch möglich sein, oder!?

iptables -A OUTPUT -p tcp -o eth0 --dport xxx -j DROP

hat leider nix gebracht. Jemand eine Idee ????
Btw: auch eine andere Lösung wäre mir recht: zB das ich den Traffic dieses Ports irgendwie (cbq???) beschränken kann.

Thx Phlow

_m3 · 25.01.2002, 14:09

Wo kommt denn der Traffic rein? Wenn er bei der eth1 reinkommt => dort blocken

"Traffic shaping" mit Linux: http://www.ldp.at/HOWTO/Adv-Routing...-15.html#ss15.4

Phlow · 25.01.2002, 14:12

Traffic kommt auch über eth 0 rein

eth0 => Karte die am Cable Modem hängt
eth1 => LAN

Aber!!! Der Outgoing Traffic dieses Ports wird von einem Programm am Router erzeugt! also nich von einem der Clients
=> mit eth 1 is da nix zu machen, die hat bei der ganzen Sache keine Bedeutung

K@sperl · 25.01.2002, 14:20

@_m3
Dein link geht nicht

Schau dir das iptables-howto mal an:
http://netfilter.samba.org/unreliabl....linuxdoc.html

Und wennst statt eth0 ppp0 als Interface angibst, geht's dann?

_m3 · 25.01.2002, 14:27

Als wenn mich mein armes, verrottendes Hirn nicht ganz im Stich laesst:

Musst Du statt "dport" nicht "sport" angeben, wenn Du den "hinausgehenden" Port angeben willst? Und statt OUTGOING ein FORWARD,da die Pakete ja nicht fuer Deinen Rechner bestimmt sind.

Wie z.B.

Code:

# Block outgoing network filesharing protocols that aren't designed 
# to leave the LAN

#    SMB / Windows filesharing
iptables -A FORWARD -p tcp --sport 137:139 -j DROP
iptables -A FORWARD -p udp --sport 137:139 -j DROP
#    NFS Mount Service (TCP/UDP 635)
iptables -A FORWARD -p tcp --sport 635 -j DROP
iptables -A FORWARD -p udp --sport 635 -j DROP
#    NFS (TCP/UDP 2049)
iptables -A FORWARD -p tcp --sport 2049 -j DROP
iptables -A FORWARD -p udp --sport 2049 -j DROP
#    Portmapper (TCP/UDP 111)
iptables -A FORWARD -p tcp --sport 111 -j DROP
iptables -A FORWARD -p udp --sport 111 -j DROP

_m3 · 25.01.2002, 14:28

@Flanders: Sorry, Aber der: http://www.ldp.at/HOWTO/Adv-Routing-...15.html#ss15.4

Phlow · 25.01.2002, 14:55

mit:

statt dport - sport hattest du natürlich recht (dummer Fehler)

Aber das mit dem Outgoing / Forward versteh ich noch nicht so ganz ... könntest du das etwas genauer erläutern bitte?? (bin gerade am testen obs was hilft *g*)

thx Phlow

_m3 · 25.01.2002, 15:10

Tschuldige, wie man unter <http://netfilter.samba.org/documenta...g-HOWTO-6.html> nachlesen kann, ist in Deinem Fall OUTGOING natuerlich korrekt.

Phlow · 25.01.2002, 15:12

... und es funktioniert (mit sport statt dport / und mit OUTPUT)

danke für den sport Tip.

cya Phlow

_m3 · 25.01.2002, 15:15

Gerne

25.01.2002, 13:36	#1
Phlow Veteran Registriert seit: 22.08.2000 Beiträge: 282	Port mit Iptables blocken Folgendes Problem: Ich möchte einen Port mit Iptables blocken, und zwar so das von meinem Router KEIN Traffic über diesen Port HINAUS kann. Sprich: Port xyz --> kein Traffic von meinem Router ins Internet möglich Umgekehrt aber schon müsste doch möglich sein, oder!? iptables -A OUTPUT -p tcp -o eth0 --dport xxx -j DROP hat leider nix gebracht. Jemand eine Idee ???? Btw: auch eine andere Lösung wäre mir recht: zB das ich den Traffic dieses Ports irgendwie (cbq???) beschränken kann. Thx Phlow

25.01.2002, 14:09	#2
_m3 Inventar Registriert seit: 24.09.2001 Beiträge: 7.335	Wo kommt denn der Traffic rein? Wenn er bei der eth1 reinkommt => dort blocken "Traffic shaping" mit Linux: http://www.ldp.at/HOWTO/Adv-Routing...-15.html#ss15.4 ____________________________________ Weiterhin zu finden auf http://martin.leyrer.priv.at , http://twitter.com/leyrer , http://www.debattierclub.net/ , http://www.tratschen.at/ und via Instant Messaging auf Jabber: m3 <ät> cargal.org .

25.01.2002, 14:27	#5
_m3 Inventar Registriert seit: 24.09.2001 Beiträge: 7.335	Als wenn mich mein armes, verrottendes Hirn nicht ganz im Stich laesst: Musst Du statt "dport" nicht "sport" angeben, wenn Du den "hinausgehenden" Port angeben willst? Und statt OUTGOING ein FORWARD,da die Pakete ja nicht fuer Deinen Rechner bestimmt sind. Wie z.B. Code: # Block outgoing network filesharing protocols that aren't designed # to leave the LAN # SMB / Windows filesharing iptables -A FORWARD -p tcp --sport 137:139 -j DROP iptables -A FORWARD -p udp --sport 137:139 -j DROP # NFS Mount Service (TCP/UDP 635) iptables -A FORWARD -p tcp --sport 635 -j DROP iptables -A FORWARD -p udp --sport 635 -j DROP # NFS (TCP/UDP 2049) iptables -A FORWARD -p tcp --sport 2049 -j DROP iptables -A FORWARD -p udp --sport 2049 -j DROP # Portmapper (TCP/UDP 111) iptables -A FORWARD -p tcp --sport 111 -j DROP iptables -A FORWARD -p udp --sport 111 -j DROP ____________________________________ Weiterhin zu finden auf http://martin.leyrer.priv.at , http://twitter.com/leyrer , http://www.debattierclub.net/ , http://www.tratschen.at/ und via Instant Messaging auf Jabber: m3 <ät> cargal.org .

25.01.2002, 14:28	#6
_m3 Inventar Registriert seit: 24.09.2001 Beiträge: 7.335	@Flanders: Sorry, Aber der: http://www.ldp.at/HOWTO/Adv-Routing-...15.html#ss15.4 ____________________________________ Weiterhin zu finden auf http://martin.leyrer.priv.at , http://twitter.com/leyrer , http://www.debattierclub.net/ , http://www.tratschen.at/ und via Instant Messaging auf Jabber: m3 <ät> cargal.org .

25.01.2002, 15:10	#8
_m3 Inventar Registriert seit: 24.09.2001 Beiträge: 7.335	Tschuldige, wie man unter <http://netfilter.samba.org/documenta...g-HOWTO-6.html> nachlesen kann, ist in Deinem Fall OUTGOING natuerlich korrekt. ____________________________________ Weiterhin zu finden auf http://martin.leyrer.priv.at , http://twitter.com/leyrer , http://www.debattierclub.net/ , http://www.tratschen.at/ und via Instant Messaging auf Jabber: m3 <ät> cargal.org .

25.01.2002, 14:12	#3
Phlow Veteran Registriert seit: 22.08.2000 Beiträge: 282	Traffic kommt auch über eth 0 rein eth0 => Karte die am Cable Modem hängt eth1 => LAN Aber!!! Der Outgoing Traffic dieses Ports wird von einem Programm am Router erzeugt! also nich von einem der Clients => mit eth 1 is da nix zu machen, die hat bei der ganzen Sache keine Bedeutung

25.01.2002, 14:20	#4
K@sperl bitte Mailadresse prüfen! Registriert seit: 03.04.2001 Beiträge: 2.387	@_m3 Dein link geht nicht Schau dir das iptables-howto mal an: http://netfilter.samba.org/unreliabl....linuxdoc.html Und wennst statt eth0 ppp0 als Interface angibst, geht's dann?

25.01.2002, 14:55	#7
Phlow Veteran Registriert seit: 22.08.2000 Beiträge: 282	mit: statt dport - sport hattest du natürlich recht (dummer Fehler) Aber das mit dem Outgoing / Forward versteh ich noch nicht so ganz ... könntest du das etwas genauer erläutern bitte?? (bin gerade am testen obs was hilft g) thx Phlow

25.01.2002, 15:12	#9
Phlow Veteran Registriert seit: 22.08.2000 Beiträge: 282	... und es funktioniert (mit sport statt dport / und mit OUTPUT) danke für den sport Tip. cya Phlow

25.01.2002, 15:15	#10
_m3 Inventar Registriert seit: 24.09.2001 Beiträge: 7.335	Gerne ____________________________________ Weiterhin zu finden auf http://martin.leyrer.priv.at , http://twitter.com/leyrer , http://www.debattierclub.net/ , http://www.tratschen.at/ und via Instant Messaging auf Jabber: m3 <ät> cargal.org .

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)