Iptables pomoc s nastavením

[mephcz]

Zdravím všechny, nainstaloval jsem si Ubuntu, mám 2 sítové karty jedna LAN druhá WAN(Internet) pomocí firestarteru jsem nastavil bezepčenostní politiku. Nastavená politika je IN OUT FORWD - DROP. POvolil jsem potřebné porty a vše funguje jak má.

Jediná věc se kterou mám problém z venku potřebuju routovat na portu 5900 na vnitřní adresu sítě. Ale jediný problém je v tom že při nastavení pravidla ve firestarteru se tento port otevře pro kohokliv. a to nechci. Chci přístup omezi na konkrétní IP adresu. Takhle jsou pravidla definována v IPTABLES:

3    ACCEPT     tcp  --  anywhere             192.168.5.10        tcp dpt:5900
4    ACCEPT     udp  --  anywhere             192.168.5.10        udp dpt:5900

můžete mi někdo pomoci a postnout mi přesnou syntaxi příkazu abych omezil FORWARD na portu 5900 dejme tomu jen  IP  111.222.333.444. na lokalní IP 192.168.5.10

Díky moc všem za pomoc...

PS: Začátky jsou krušné :-)

[On]

No já myslím, že by mohlo fungovat něco takového:

iptables -A INPUT -p tcp --dport 5900 -s 111.222.333.444 -j ACCEPT

nebo

iptables -A INPUT -p tcp --dport 5900 -s ! 111.222.333.444 -j DROP

ono hodně záleží na tom, jak máš daná pravidla poskládána...pokud ti v předchozím pravidle přícházející paket vyhoví/nevyhoví, dál se netestuje a proto se k této podmínce ani nemusí dostat..firestarter nepoužívám, radši si to skládám sám

[mephcz]

díky moc no já bych si to strašně rád poskládal sám, ale jsem v tom terminálu jak ryba na souši :-/ pokud by jsi byl ochotný a nudil mohl by jsi lehce pomoct :-) kdyby ano písni na ICQ 280 947 943, jinak tvé příkazy vyzkouším ale výchozí politika je vše DROP

[On]

Výchozí politika je v pořádku, tak by se mělo začínat ...Vše zakázat a povolit jen to, co chceš..sám jsem se sestavením firewallu bojoval a místo odborné rady jsem se dočkal přesměrování na ROOT.CZ

Určitě rád pomůžu, mám i hotový skript pro nastavení firewallu..jen doplníš port (kvůli bezpečnosti ho dávám na jiný port, než standartní 22), ip serveru a hotovo...vše ostatní jako ochranu proti zaplavení atd si zavede sám...jen teda nevím, kdy budu moct, ale budu se snažit brzy

[mephcz]

jinak když jsem ejště jednou podíval na to pravidlo co jsi napsal tak by samozřejmě bylo funkční ale muj problém je v tom že já potřebuju routovat příchozí spojení na portu 5900 na počítač vnítřní sítě 192.168.5.10 a tu jsem narazil když routuju tak se přeskakují pravidla IN i OUT... a nevím jakou syntaxi použít jedná se mi o FORWARD

Kdybych použit tvé pravidlo tak se mi neroutuje, firestarter mi to přeroutuje dobře ale všechno co se připojí na portu 5900 jede na vnitřní IP adresu, já tu možnost připojení chci dát jen konkretním IP z venku