• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Iptables - Hostnamen ausperren?

R

Remad

Hallo,
ich besitze einen SuSe Linux 9.0 Professional Server im Internet. Nun macht mir eine Person immer Ärger und ich möchte ihn aussperren von dem Server. Er soll bei jedem TCP-Zugriff keinen Zugriff erhalten. Wie sperre ich mit IPTABLES einen Hostnamen z.B. kabsi.at ?
Vielen Dank im voraus!
 
A

Anonymous

Gast
Hi,
kabelprovider wie kabsi vergeben in der regel ohnehin statische ip-addressen so das Du den user die IP sperren könntest, jedoch ist es ein einfaches wenn die IP gesperrt wurde, einen Proxy zu verwenden, so das der User wieder auf Deinen server kommt.
Kommplete ranges wegen einen User zu sperren wäre etwas überzogen da viele andere ebenfalls die angebotenen Dienste nicht mehr nützen können.Besser wäre es Dienste per PW anzubieten!? Wenn Du wirklich ganze Ranges sperren willst dann kannst du diese einfach per consolenkommandos rausfinden zB
nslookup www.kabsi.at
liefert die IP
whois IP
liefert auch die Range zB 195.202.128.0/19 oder Du siehst einfach auf www.ripe.de nach ;-)
So findest Du auch die Email des Hostmasters um etwaige illegale Angriffe auf Deinen Server aufzuzeigen ;-)

Hoffe das hilft Dir weiter?

Mƒg ®êïñï
 
OP
R

Remad

Hallo,
danke für die Meldung. Aber nun ist meine Frage nach der Eingabsyntax nicht geklärt. Es handelt sich, wie ich sah, um einen Socks 5 Proxy-Server von kabsi.at . Ich möchte den gesamt sperren. Also alle Pakete von dieser IP sollen unbenatwortet bleiben, sozusagen, möchte ich die IP ganz sperren von dem Zugriff. Wie lautet die Syntax dafür und wie lautet die Syntax für einen IP-Range oder Netznamen?

MfG
Remad
 
BlueTurtle

BlueTurtle

Tach,

also einen "Rechnernamen" zu sperren geht glaube ich mit iptables nicht.

Aber wenn Du die entsprechende IP des Bösewichts weiss, könnte diese Zeile helfen:

Code: 
iptables -A INPUT -s <IP des Schlingels> -j DROP

War es das, was Du suchst?!?

BT
 
OP
R

Remad

Danke! Dies hilft mir gegen Proxys, sowas habe ich auch gesucht.
Somit kann ich mir einen nervigen 15 Jährigen von meinem Server fernhalten.

MfG
Remad
 
C

Cairath

wenn du statt -j Drop -j MIRROR eingibst wird die sache witziger

dann werden die pakete wieder zurückgeschickt, wobei ich mir nicht sicher bin, ab die selben pakete zurückgeschickt, oder aber neu entstehen.

wenn das wer aufklären könnte ?
 
H

Huflatisch

Hey

Zitat google

Eine hübsche Idee ist das noch experimentelle MIRROR. Das Modul vertauscht einfach die Quell- mit der Zieladresse und schickt das Paket mit besten Grüßen an den neugierigen Absender zurück.

MIRROR - Experimentelles Ziel, das Quelle und Ziel vertauscht. Damit scannt ein "Bösewicht" sich selbst.
Zum Vergrößern anklicken....

By Huflatisch
 
BlueTurtle

BlueTurtle

Hallo,

um nochmal auf die Problematik zurück zu kommen, Rechner nach Namen und nicht IP zu blocken.

Da könnte der TCP-Wrapper tcpd eine Lösung bieten.

Sehr vereinfachte Beschreibung: Du kannst über inetd Netzwerkdienste starten und hast die Möglichkeit diese Dienste über tcpd genauer zu konfigurieren.
tcpd liest zum Beispiel die Datei /etc/hosts.deny aus.

Wenn Du also den angeriffenen Dienst über inetd startest, wäre das eine Möglichkeit, bestimmte Vollpfosten anhand von Namen auszugrenzen.

Getestet habe ich das allerdings noch nicht - und wenn meine Beschreibung etwas unvollständig ist, sorry, vielleicht suchst Du einfach mal nach den genannten Schlagwörtern...

...und wenn Du schon suchst: xinetd soll die beiden gerade beschriebenen Dienste zu einem vereinen und somit noch mehr Möglichkeiten bieten!!


BT
 
Martin Breidenbach

Martin Breidenbach

Denkt doch mal darüber nach was es bedeutet einen Rechner über seinen Namen blocken zu wollen.

In den IP-Paketen steht kein Name drin. Da steht nur eine IP-Adresse. Also muß der Name über DNS in eine IP-Adresse aufgelöst werden.

Wann soll das geschehen ?

Zur Startzeit des Skriptes ? Und wenn der DynDNS benutzt ?

Zur Laufzeit ? Ja soll denn zu jedem IP-Paket eine DNS-Abfrage gestartet werden ?

Das ist beides nix.
 
oc2pus

oc2pus

Martin Breidenbach schrieb:
Denkt doch mal darüber nach was es bedeutet einen Rechner über seinen Namen blocken zu wollen.

In den IP-Paketen steht kein Name drin. Da steht nur eine IP-Adresse. Also muß der Name über DNS in eine IP-Adresse aufgelöst werden.

Wann soll das geschehen ?

Zur Startzeit des Skriptes ? Und wenn der DynDNS benutzt ?

Zur Laufzeit ? Ja soll denn zu jedem IP-Paket eine DNS-Abfrage gestartet werden ?

Das ist beides nix.
Zum Vergrößern anklicken....
"kleines" Veto:
es ist möglich bei Verbindungsaufbau die DNS-Abfrage durchzuführen und dann via connection-tracking-Modul alle weiteren Verbindungen von dieser IP zu droppen. D.h es wird nur EINE DNS-Abfrage gebraucht.

Stichwort Blacklisting, siehe Realisierung in dem Firewall "shorewall"

Zweiter Ansatz:
PSAD verwenden, das entdeckt port-scan-attacks und kann dann dynamisch die iptables regeln generieren und sperrt die dann für eine zu definierende Zeit.
psad gibt es hier: http://www.cipherdyne.com/psad/
 
BlueTurtle

BlueTurtle

Hallo,

Martin hat natürlich recht, was soll das alles bringen?!?

Wenn mich jemand angreift, habe ich natürlich auch die entsprechende IP - wat soll ich da eine Namensauflösung machen...
Und wenn ich ein ganzes Netz sperren möchte, gehe ich auch nicht über den Domain-Name.

Aber Remad hat halt gefragt, ob sowas möglich ist und ich denke, das wäre ein Weg.

Selbst in der Firma würde ich nicht nach Namen sperren, sondern über die IPs, die ich ja selbst vergebe...(-;

Mein Beitrag war auch nur als Ergänzung gemeint, also theoretischer Ansatz quasi... praktisch wohl eher Quatsch im Internet!


BT
 
OP
R

Remad

Danke an euch alle! Der Mirror Tipp ist gut! Und ich werde jetzt nur noch IPs sperren. Das eine Psad wäre auch eine Idee.

Danke viele Mals!

Grüße Remad
 
OP
R

Remad

hallo,
noch eine Frage: Wo bekomme ich die neuste IPTABLES Version? Ich sollte mal wieder einen Update amchen wegen Bugs usw.
 
Martin Breidenbach

Martin Breidenbach

iptables bzw netfilter ist Bestandteil des Kernels und sollte bei einem Kernelupdate aktualisiert werden.

Ansonsten: die Homepage des Iptables/Netfilter-Projektes ist:

www.iptables.org

Da kannst Du den Quellcode runterladen und dann in Deinen Kernel einbauen.
 
canis_lupus

canis_lupus

netfilter ist Bestandteil des Kernels. iptables ist ein User-Space-Programm. Beides sollte durch ein Onlineupdate aktualisiert werden können, bzw. auf der angegebenen Adresse (www.iptables.org) zu finden sein.
Ein Tipp noch. Dort findest Du auch viele nette Erweiterungen über patch-o-matic. Ich glaube MIRROR ist auch darunter, da es im 2.6er nicht mehr dabei ist :( :(
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben