Discussion:
IP Adressbereich über iptables sperren
(zu alt für eine Antwort)
Lin Hyde
2005-08-22 10:04:38 UTC
Permalink
Sorry, aber ich finde leider selbst keine Lösung. Ich möchte mit
iptables einen bestimmten IP Adressbereich den Zugang zu meinem Server
sperren.

So in etwa:
iptables -I INPUT -t filter -p tcp -j REJECT --reject-with tcp-reset -s

Das Problem das ich aber mit der Option -s habe ist, dass ich keine
Adressbereiche, so wie ich sie gerne hätte, angeben kann sondern nur
recht ungenau über Netzwerkmasken.

Den Bereich hätte ich gerne gesperrt:
217.224.0.0 - 217.237.161.47
Malte J. Wetz
2005-08-22 11:47:20 UTC
Permalink
Post by Lin Hyde
Sorry, aber ich finde leider selbst keine Lösung. Ich möchte mit
iptables einen bestimmten IP Adressbereich den Zugang zu meinem Server
sperren.
Das Problem das ich aber mit der Option -s habe ist, dass ich keine
Adressbereiche, so wie ich sie gerne hätte, angeben kann sondern nur
recht ungenau über Netzwerkmasken.
,----[ man iptables ]
| MATCH EXTENSIONS
| [...]
| iprange
| This matches on a given arbitrary range of IPv4 addresses
|
| [!]--src-range ip-ip
| Match source IP in the specified range.
|
| [!]--dst-range ip-ip
| Match destination IP in the specified range.
`----
--
http://www.malte-wetz.de (Linux: ISDN-Anrufbeantworter, Text-To-Speech,
ISDN-Inhaltsdatenkomprimierung, yapsrc für alle dt. Netze, Sondertasten
von Multimedia-Tastaturen; Allgemein: Rechnersicherheit)
Lin Hyde
2005-08-22 12:48:40 UTC
Permalink
Post by Malte J. Wetz
,----[ man iptables ]
| MATCH EXTENSIONS
| [...]
| iprange
| This matches on a given arbitrary range of IPv4 addresses
|
| [!]--src-range ip-ip
| Match source IP in the specified range.
|
| [!]--dst-range ip-ip
| Match destination IP in the specified range.
`----
Gibts bei mir irgendwie in den man pages nicht. Dann ist mein iptables
wohl zu alt. Hab auch noch den 2.4er Kernel.
Helmut Hullen
2005-08-22 11:52:00 UTC
Permalink
Hallo, Lin,
Post by Lin Hyde
Sorry, aber ich finde leider selbst keine Lösung. Ich möchte mit
iptables einen bestimmten IP Adressbereich den Zugang zu meinem
Server sperren.
iptables -I INPUT -t filter -p tcp -j REJECT --reject-with
tcp-reset -s
Das Problem das ich aber mit der Option -s habe ist, dass ich keine
Adressbereiche, so wie ich sie gerne hätte, angeben kann sondern
nur recht ungenau über Netzwerkmasken.
217.224.0.0 - 217.237.161.47
Kernel 2.6 erlaubt "ip_range".

Ich habe noch nicht ausprobiert, ob "ip_range" direkt den gesamten
Bereich abdeckt; möglich wäre es. Für kleinere Bereich habe ich es
erfolgreich anwenden können.

Viele Grüße!
Helmut
Lin Hyde
2005-08-22 12:52:55 UTC
Permalink
Post by Helmut Hullen
Ich habe noch nicht ausprobiert, ob "ip_range" direkt den gesamten
Bereich abdeckt; möglich wäre es. Für kleinere Bereich habe ich es
erfolgreich anwenden können.
Muss ich mein Suse 9.0 wohl doch mal updaten. Ist nur immer ein generv
das ganze Ding (DVD) runderzuladen.
Siegbert Baude
2005-08-22 13:22:39 UTC
Permalink
Post by Lin Hyde
Muss ich mein Suse 9.0 wohl doch mal updaten. Ist nur immer ein generv
das ganze Ding (DVD) runderzuladen.
FTP-Installation funktioniert. Auch 9.3 ist schon freigegeben.

Ciao
Siegbert
Lin Hyde
2005-08-23 00:53:58 UTC
Permalink
Post by Siegbert Baude
FTP-Installation funktioniert. Auch 9.3 ist schon freigegeben.
Wie hoch ist die Warscheinlichkeit bei Suse, dass ein Update mit
überspringen einer Version zu Datenmüll ausartet? Habs noch nie gemacht
nur davon gehört, dass sowas zu Problemen führen kann.
Siegbert Baude
2005-08-23 10:32:04 UTC
Permalink
Post by Lin Hyde
Wie hoch ist die Warscheinlichkeit bei Suse, dass ein Update mit
überspringen einer Version zu Datenmüll ausartet? Habs noch nie gemacht
nur davon gehört, dass sowas zu Problemen führen kann.
Was die suse-eigenen Sachen betrifft sollte das schon funktionieren,
aber wenn Du viel Software aus Drittquellen hast, würde ich lieber Deine
Konfiguration sichern und eine Neuinstallation machen, bei der Du danach
Deine alte Konfiguration wieder einpflegst.

Frag mal in einer Suse-Gruppe nach Erfahrungen beim Update von 9.0 auf 9.3.

Ciao
Siegbert
Helmut Hullen
2005-08-22 13:51:00 UTC
Permalink
Hallo, Lin,
Post by Lin Hyde
Post by Helmut Hullen
Ich habe noch nicht ausprobiert, ob "ip_range" direkt den gesamten
Bereich abdeckt; möglich wäre es. Für kleinere Bereich habe ich es
erfolgreich anwenden können.
Muss ich mein Suse 9.0 wohl doch mal updaten. Ist nur immer ein
generv das ganze Ding (DVD) runderzuladen.
Ich arbeite hier mit Kernel 2.6.11 und iptables-1.3.3; Kernel 2.4
ignoriert "iprange".

Schreibweise in der "man page": "iprange" und "src-range". Ich hatte
da zuerst ein wenig gemischt ...

Aufruf (Einbau):

... --match --src-range anfang-ende


Viele Grüße!
Helmut
Juergen Ilse
2005-08-23 15:32:33 UTC
Permalink
Hallo,
Sorry, aber ich finde leider selbst keine L?sung. Ich m?chte mit
iptables einen bestimmten IP Adressbereich den Zugang zu meinem Server
sperren.
iptables -I INPUT -t filter -p tcp -j REJECT --reject-with tcp-reset -s
Das Problem das ich aber mit der Option -s habe ist, dass ich keine
Adressbereiche, so wie ich sie gerne h?tte, angeben kann sondern nur
recht ungenau ?ber Netzwerkmasken.
217.224.0.0 - 217.237.161.47
Das waeren dann 8 Regeln, sind dir das zu viele? Jeweils sperren von
217.224.0.0/17
217.224.128.0/19
217.224.160.0/24
217.224.161.0/27
217.224.161.32/29
217.224.161.40/30
217.224.161.44/31
217.224.161.47/32
Falls dir das zu viele sind, solltest du dir mal die Option
"--src-range" an ...
;-)

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

Loading...