# [iptables] Warum funzt meine firewall net??

## Deever

Hey Amigos, wie geht's?

Also ich halte mich eigentlich für einen halbwegs normalvernünftigen und -intelligenten menschen, aber gegenüber meiner iptables feierwoal sehe ich total bescheuert aus!! :Mad:  Ich hab absolut kein plan, warum dieses skript net funzen will!!! :Surprised: 

```
depend() { 

        need net 

        provide fwall 

} 

start() { 

ebegin "Setting up firewall" 

iptables -F 

iptables -t nat -F 

iptables -t mangle -F 

iptables -X 

iptables -t nat -X 

iptables -t mangle -X 

iptables -P INPUT DROP 

iptables -P OUTPUT DROP 

iptables -P FORWARD DROP 

iptables -t nat -P PREROUTING DROP 

iptables -t nat -P OUTPUT DROP 

iptables -t nat -P POSTROUTING DROP 

iptables -t mangle -P PREROUTING DROP 

iptables -t mangle -P OUTPUT DROP 

CLASS_A="10.0.0.0/8" 

CLASS_B="172.190.0.0/12" 

CLASS_C="192.168.0.0/16" 

CLASS_D="224.0.0.0/4" 

CLASS_E="240.0.0.0/5" 

INET_FACE="eth0" 

INET_ADDR="$(/sbin/ifconfig $INET_FACE | grep 'inet addr' | cut -d: -f2 | cut -d\  -f1)" 

INET_BCAST="$(/sbin/ifconfig $INET_FACE | grep 'Bcast' | cut -d: -f3 | cut -d\  -f1)" 

INET_MASK="$(/sbin/ifconfig $INET_FACE | grep 'Mask' | cut -d: -f4 | cut -d\  -f1)" 

SUBNET_BASE="me.in.ne.tz" 

SUBNET_BCAST="mei.ne.b.cast" 

USERCHAINS="local-tcp-client \ 

            remote-tcp-server \ 

            local-udp-client \ 

            remote-udp-server \ 

            local-tcp-server \ 

            remote-tcp-client \ 

            saddr-check \ 

            daddr-check \ 

            state-check \ 

            port-check" 

for i in $USERCHAINS ; do 

        iptables -N $i 

done 

# pings an broadcasts ignorieren 

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 

# source-routing deaktivieren 

for f in /proc/sys/net/ipv4/conf/*/accept_source_route ; do 

        echo 0 > $f 

done 

# SYN-cookies einschalten 

echo 1 > /proc/sys/net/ipv4/tcp_syncookies 

# keine icmp-redirects annehmen 

for f in /proc/sys/net/ipv4/conf/*/accept_redirects ; do 

        echo 0 > $f 

done 

# kein icmp-redirects versenden 

for f in /proc/sys/net/ipv4/conf/*/send_redirects ; do 

        echo 0 > $f 

done 

# pakete ignorieren wenn eine antwort über ein anderes interface verschickt wurde 

for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do 

        echo 1 > $f 

done 

# pakete mit unmöglichen adressen protokollieren 

for f in /proc/sys/net/ipv4/conf/*/log_martians ; do 

        echo 1 > $f 

done 

# gewhnliche filterregeln 

iptables -A local-udp-client -p udp --dport 53 -j ACCEPT 

iptables -A remote-udp-server -p udp --sport 53 -j ACCEPT 

iptables -A local-tcp-client -p tcp --dport 53 -j ACCEPT 

iptables -A remote-tcp-server -p tcp --sport 53 -j ACCEPT 

# gespoofte absenderadressen droppen 

iptables -A saddr-check -s $CLASS_A -j DROP 

iptables -A saddr-check -s $CLASS_B -j DROP 

iptables -A saddr-check -s $CLASS_C -j DROP 

iptables -A saddr-check -s $CLASS_D -j DROP 

iptables -A saddr-check -s $CLASS_E -j DROP 

iptables -A saddr-check -s 127.0.0.1 -j DROP 

iptables -A saddr-check -s $SUBNET_BASE -j DROP 

iptables -A saddr-check -s $SUBNET_BCAST -j DROP 

# gespoofte empfängeradressen droppen 

iptables -A daddr-check -d $CLASS_A -j DROP 

iptables -A daddr-check -d $CLASS_B -j DROP 

iptables -A daddr-check -d $CLASS_C -j DROP 

iptables -A daddr-check -d $CLASS_D -j DROP 

iptables -A daddr-check -d $CLASS_E -j DROP 

iptables -A daddr-check -d 127.0.0.1 -j DROP 

iptables -A daddr-check -d $SUBNET_BASE -j DROP 

iptables -A daddr-check -d $SUBNET_BCAST -j DROP 

# tcp-status-flaggen überprüfen 

iptables -A state-check -p tcp --tcp-flags ALL NONE -j DROP 

iptables -A state-check -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP 

iptables -A state-check -p tcp --tcp-flags SYN,RST SYN,RST -j DROP 

iptables -A state-check -p tcp --tcp-flags FIN,RST FIN,RST -j DROP 

iptables -A state-check -p tcp --tcp-flags ACK,FIN FIN -j DROP 

iptables -A state-check -p tcp --tcp-flags ACK,PSH PSH -j DROP 

iptables -A state-check -p tcp --tcp-flags ACK,URG URG -j DROP 

# unnötige ports filtern 

for i in "0:19" "24" "26:79" "81:109" "111:442" "444:5221" "5223:65535"; do 

iptables -A port-check -p tcp --dport $i -j LOG --log-prefix "Firewall TCP: " 

iptables -A port-check -p udp --dport $i -j LOG --log-prefix "Firewall UDP: " 

done 

# filtern beginnen 

iptables -A INPUT -i lo -j ACCEPT 

iptables -A OUTPUT -o lo -j ACCEPT 

iptables -A INPUT -i $INET_FACE -j saddr-check 

iptables -A OUTPUT -o $INET_FACE -j daddr-check 

iptables -A INPUT -p tcp -j state-check 

iptables -A OUTPUT -p tcp -j state-check 

iptables -A INPUT -j port-check 

iptables -A OUTPUT -p tcp -s $INET_ADDR --sport 1024:65535 -o $INET_FACE -j local-tcp-client 

iptables -A INPUT -p tcp -d $INET_ADDR --dport 1024:65535 -i $INET_FACE -j remote-tcp-server 

iptables -A INPUT -p tcp -d $INET_ADDR --sport 1024:65535 -i $INET_FACE -j local-tcp-server 

iptables -A OUTPUT -p tcp -s $INET_ADDR --dport 1024:65535 -o $INET_FACE -j remote-tcp-client 

iptables -A OUTPUT -p udp -s $INET_ADDR --sport 1024:65535 -o $INET_FACE -j local-udp-client 

iptables -A INPUT -p udp -d $INET_ADDR --dport 1024:65535 -i $INET_FACE -j remote-udp-server 

} 

stop() { 

ebegin "Shutting down firewall" 

iptables -F 

iptables -t nat -F 

iptables -t mangle -F 

iptables -X 

iptables -t nat -X 

iptables -t mangle -X 

iptables -P INPUT ACCEPT 

iptables -P OUTPUT ACCEPT 

iptables -P FORWARD ACCEPT 

iptables -t nat -P PREROUTING ACCEPT 

iptables -t nat -P OUTPUT ACCEPT 

iptables -t nat -P POSTROUTING ACCEPT 

iptables -t mangle -P PREROUTING ACCEPT 

iptables -t mangle -P OUTPUT ACCEPT 

}
```

 Ich weiss, ich muss auch noch http, ftp und z.b jabber zulassen, connection-tracking enablen,....aber das kommt später... 

Jemand von euch $IRGEND_NEN_PLAN, warum das net funzt??

Ohne feierwoal geht alles, mit nich mal nen ping!

```
deever@deever deever $ ping [ip]

PING [ip] ([ip]): 56 octets data

sendto: Operation not permitted

ping: sent 64 octets to [ip], ret=-1

sendto: Operation not permitted

ping: sent 64 octets to [ip], ret=-1

sendto: Operation not permitted

ping: sent 64 octets to [ip], ret=-1

sendto: Operation not permitted

ping: sent 64 octets to [ip], ret=-1

sendto: Operation not permitted

ping: sent 64 octets to [ip], ret=-1

sendto: Operation not permitted

ping: sent 64 octets to [ip], ret=-1

sendto: Operation not permitted

ping: sent 64 octets to [ip], ret=-1

--- [ip] ping statistics ---

7 packets transmitted, 0 packets received, 100% packet loss
```

Ich hab auch schon alle pakete loggen lassen, bevor sie akzeptiert/verworfen werden, aber es gab keine pakete!

Vielen dank für eure hilfe!  :Wink: 

dev

----------

## Starfox

HI,

Anmerkung 1: Untersuch mal deine Netzkonfiguration, denn ein Operation not permitted hatte ich noch nie wenn ich einen ping durch eine geschlossene Firewall geschickt habe! Das sieht eher nach einem konfigurationproblem im Netzwerk aus!

Anmerkung 2: Beim Firewall Skript wäre es wohl besser zueerst ALLE Ports zu schließen, und anschließend nur die wirklich gebrauchten zu öffenen, so vermeidest du, dass du einen vergessen hast!

mfg Sascha

----------

## longint

schonmal ein 'echo 1 > /proc/sys/net/ipv4/ip_forward' versucht?

----------

## Deever

 *Quote:*   

> schonmal ein 'echo 1 > /proc/sys/net/ipv4/ip_forward' versucht?

 

Tatsächlich! Ich hab das vergessen, auf 0 zu stellen. Das ist nämlich kein router! Danke!  :Wink: 

@Starfox

Zu 1: sendto() ist die c++ funktion für udp anfragen. Keine Ahnung, warum die net erlaubt wird!!  :Sad: 

Zu 2: Hmmm...??? Genau so mach ich das ja auch!  :Wink: 

dev

----------

## de4d

dein script (so schoen es doch ist) liest sich ziemlich muehselig

post doch mal lieber ein 

```
iptables -L -v
```

o. ae.

da sieht man dann gleich wo der fehler ist (evtl hast du ihn dann auch schon gefunden....)

----------

## Deever

 *Quote:*   

> dein script (so schoen es doch ist) 

 

Danke!!  :Wink: 

 *Quote:*   

>  liest sich ziemlich muehselig 

 

Ja stimmt! Wenn ichs mal so anschaue... :Smile: 

Also...das wird jetzt natürlich nbischen lang. Das ist die abgeänderte form, die alle pakete loggt...

```
Chain INPUT (policy DROP 0 packets, 0 bytes)

 pkts bytes target     prot opt in     out     source               destination

    0     0 ACCEPT     all  --  lo     any     anywhere             anywhere

    0     0 saddr-check  all  --  eth0   any     anywhere             anywhere

    0     0 state-check  tcp  --  any    any     anywhere             anywhere

    0     0 port-check  all  --  any    any     anywhere             anywhere

    0     0 remote-tcp-server  tcp  --  eth0   any     anywhere             217.162.236.74     tcp dpts:1024:65535

    0     0 local-tcp-server  tcp  --  eth0   any     anywhere             217.162.236.74     tcp spts:1024:65535

    0     0 remote-udp-server  udp  --  eth0   any     anywhere             217.162.236.74     udp dpts:1024:65535

Chain FORWARD (policy DROP 0 packets, 0 bytes)

 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 0 packets, 0 bytes)

 pkts bytes target     prot opt in     out     source               destination         

    0     0 ACCEPT     all  --  any    lo      anywhere             anywhere           

    0     0 daddr-check  all  --  any    eth0    anywhere             anywhere           

    0     0 state-check  tcp  --  any    any     anywhere             anywhere           

    0     0 local-tcp-client  tcp  --  any    eth0    217.162.236.74       anywhere           tcp spts:1024:65535 

    0     0 remote-tcp-client  tcp  --  any    eth0    217.162.236.74       anywhere           tcp dpts:1024:65535 

    0     0 local-udp-client  udp  --  any    eth0    217.162.236.74       anywhere           udp spts:1024:65535 

Chain daddr-check (1 references)

 pkts bytes target     prot opt in     out     source               destination         

    0     0 LOG        all  --  any    any     anywhere             10.0.0.0/8         LOG level warning prefix `Firewall daddr: ' 

    0     0 LOG        all  --  any    any     anywhere             172.176.0.0/12     LOG level warning prefix `Firewall daddr: ' 

    0     0 LOG        all  --  any    any     anywhere             192.168.0.0/16     LOG level warning prefix `Firewall daddr: ' 

    0     0 LOG        all  --  any    any     anywhere             224.0.0.0/4        LOG level warning prefix `Firewall daddr: ' 

    0     0 LOG        all  --  any    any     anywhere             240.0.0.0/5        LOG level warning prefix `Firewall daddr: ' 

    0     0 LOG        all  --  any    any     anywhere             localhost          LOG level warning prefix `Firewall daddr: ' 

    0     0 LOG        all  --  any    any     anywhere             217.162.232.0      LOG level warning prefix `Firewall daddr: ' 

    0     0 LOG        all  --  any    any     anywhere             217.162.239.255    LOG level warning prefix `Firewall daddr: ' 

    0     0 DROP       all  --  any    any     anywhere             10.0.0.0/8         

    0     0 DROP       all  --  any    any     anywhere             172.176.0.0/12     

    0     0 DROP       all  --  any    any     anywhere             192.168.0.0/16     

    0     0 DROP       all  --  any    any     anywhere             224.0.0.0/4        

    0     0 DROP       all  --  any    any     anywhere             240.0.0.0/5        

    0     0 DROP       all  --  any    any     anywhere             localhost          

    0     0 DROP       all  --  any    any     anywhere             217.162.232.0      

    0     0 DROP       all  --  any    any     anywhere             217.162.239.255    

Chain local-tcp-client (1 references)

 pkts bytes target     prot opt in     out     source               destination         

    0     0 LOG        tcp  --  any    any     anywhere             anywhere           tcp spts:tcpmux:65535 dpt:domain LOG level warning prefix `Firewall TCP dns: ' 

    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere           tcp spts:tcpmux:65535 dpt:domain 

Chain local-tcp-server (1 references)

 pkts bytes target     prot opt in     out     source               destination         

Chain local-udp-client (1 references)

 pkts bytes target     prot opt in     out     source               destination         

    0     0 LOG        udp  --  any    any     anywhere             anywhere           udp spts:1:65535 dpt:domain LOG level warning prefix `Firewall UDP dns: ' 

    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere           udp spts:1:65535 dpt:domain 

Chain port-check (1 references)

 pkts bytes target     prot opt in     out     source               destination         

    0     0 LOG        tcp  --  any    any     anywhere             anywhere           tcp dpts:0:chargen LOG level warning prefix `Firewall TCP: ' 

    0     0 LOG        udp  --  any    any     anywhere             anywhere           udp dpts:0:chargen LOG level warning prefix `Firewall UDP: ' 

    0     0 LOG        tcp  --  any    any     anywhere             anywhere           tcp dpt:24 LOG level warning prefix `Firewall TCP: ' 

    0     0 LOG        udp  --  any    any     anywhere             anywhere           udp dpt:24 LOG level warning prefix `Firewall UDP: ' 

    0     0 LOG        tcp  --  any    any     anywhere             anywhere           tcp dpts:26:finger LOG level warning prefix `Firewall TCP: ' 

    0     0 LOG        udp  --  any    any     anywhere             anywhere           udp dpts:26:79 LOG level warning prefix `Firewall UDP: ' 

    0     0 LOG        tcp  --  any    any     anywhere             anywhere           tcp dpts:81:pop-2 LOG level warning prefix `Firewall TCP: ' 

    0     0 LOG        udp  --  any    any     anywhere             anywhere           udp dpts:81:pop-2 LOG level warning prefix `Firewall UDP: ' 

    0     0 LOG        tcp  --  any    any     anywhere             anywhere           tcp dpts:sunrpc:442 LOG level warning prefix `Firewall TCP: ' 

    0     0 LOG        udp  --  any    any     anywhere             anywhere           udp dpts:sunrpc:442 LOG level warning prefix `Firewall UDP: ' 

    0     0 LOG        tcp  --  any    any     anywhere             anywhere           tcp dpts:snpp:5221 LOG level warning prefix `Firewall TCP: ' 

    0     0 LOG        udp  --  any    any     anywhere             anywhere           udp dpts:snpp:5221 LOG level warning prefix `Firewall UDP: ' 

    0     0 LOG        tcp  --  any    any     anywhere             anywhere           tcp dpts:5223:65535 LOG level warning prefix `Firewall TCP: ' 

    0     0 LOG        udp  --  any    any     anywhere             anywhere           udp dpts:5223:65535 LOG level warning prefix `Firewall UDP: ' 

Chain remote-tcp-client (1 references)

 pkts bytes target     prot opt in     out     source               destination         

Chain remote-tcp-server (1 references)

 pkts bytes target     prot opt in     out     source               destination         

    0     0 LOG        tcp  --  any    any     anywhere             anywhere           tcp spt:domain dpts:tcpmux:65535 LOG level warning prefix `Firewall TCP dns: ' 

    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere           tcp spt:domain dpts:tcpmux:65535 

Chain remote-udp-server (1 references)

 pkts bytes target     prot opt in     out     source               destination         

    0     0 LOG        udp  --  any    any     anywhere             anywhere           udp spt:domain dpts:1:65535 LOG level warning prefix `Firewall UDP dns: ' 

    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere           udp spt:domain dpts:1:65535 

Chain saddr-check (1 references)

 pkts bytes target     prot opt in     out     source               destination

    0     0 LOG        all  --  any    any     10.0.0.0/8           anywhere           LOG level warning prefix `Firewall saddr: '

    0     0 LOG        all  --  any    any     172.176.0.0/12       anywhere           LOG level warning prefix `Firewall saddr: '

    0     0 LOG        all  --  any    any     192.168.0.0/16       anywhere           LOG level warning prefix `Firewall saddr: '

    0     0 LOG        all  --  any    any     224.0.0.0/4          anywhere           LOG level warning prefix `Firewall saddr: '

    0     0 LOG        all  --  any    any     240.0.0.0/5          anywhere           LOG level warning prefix `Firewall saddr: '

    0     0 LOG        all  --  any    any     localhost            anywhere           LOG level warning prefix `Firewall saddr: '

    0     0 LOG        all  --  any    any     217.162.232.0        anywhere           LOG level warning prefix `Firewall saddr: '

    0     0 LOG        all  --  any    any     217.162.239.255      anywhere           LOG level warning prefix `Firewall saddr: '

    0     0 DROP       all  --  any    any     10.0.0.0/8           anywhere

    0     0 DROP       all  --  any    any     172.176.0.0/12       anywhere

    0     0 DROP       all  --  any    any     192.168.0.0/16       anywhere

    0     0 DROP       all  --  any    any     224.0.0.0/4          anywhere

    0     0 DROP       all  --  any    any     240.0.0.0/5          anywhere

    0     0 DROP       all  --  any    any     localhost            anywhere

    0     0 DROP       all  --  any    any     217.162.232.0        anywhere

    0     0 DROP       all  --  any    any     217.162.239.255      anywhere

Chain state-check (2 references)

 pkts bytes target     prot opt in     out     source               destination

    0     0 LOG        tcp  --  any    any     anywhere             anywhere           tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE LOG level warning prefix `Firewall state: '

    0     0 LOG        tcp  --  any    any     anywhere             anywhere           tcp flags:FIN,SYN/FIN,SYN LOG level warning prefix `Firewall state: ' 

    0     0 LOG        tcp  --  any    any     anywhere             anywhere           tcp flags:SYN,RST/SYN,RST LOG level warning prefix `Firewall state: '

    0     0 LOG        tcp  --  any    any     anywhere             anywhere           tcp flags:FIN,RST/FIN,RST LOG level warning prefix `Firewall state: ' 

    0     0 LOG        tcp  --  any    any     anywhere             anywhere           tcp flags:FIN,ACK/FIN LOG level warning prefix `Firewall state: '

    0     0 LOG        tcp  --  any    any     anywhere             anywhere           tcp flags:PSH,ACK/PSH LOG level warning prefix `Firewall state: ' 

    0     0 LOG        tcp  --  any    any     anywhere             anywhere           tcp flags:ACK,URG/URG LOG level warning prefix `Firewall state: ' 

    0     0 DROP       tcp  --  any    any     anywhere             anywhere           tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE 

    0     0 DROP       tcp  --  any    any     anywhere             anywhere           tcp flags:FIN,SYN/FIN,SYN

    0     0 DROP       tcp  --  any    any     anywhere             anywhere           tcp flags:SYN,RST/SYN,RST

    0     0 DROP       tcp  --  any    any     anywhere             anywhere           tcp flags:FIN,RST/FIN,RST 

    0     0 DROP       tcp  --  any    any     anywhere             anywhere           tcp flags:FIN,ACK/FIN

    0     0 DROP       tcp  --  any    any     anywhere             anywhere           tcp flags:PSH,ACK/PSH  
```

Vielen dank für eure hilfe!!  :Wink: 

Ohne dieses board wär ich voll am "hinterteil"... :Sad: 

dev

----------

## de4d

eine frage hab ich dazu:

wieso benutzt du ein firewallscript mit 5 verschiedenen adressbereichen, denen du irgendwelche rules aufzudruekcken versuchst, und kannst dennoch nicht nachvollziehen, welche rules auf ein icmp packet angewandt werden?

wuerdest du so nett sein, und die ip posten, die zu pingen versuchst, waere ein aussenstehender in der lage dies fuer dich zu tun... wobei ich nicht weiss ob ich zeit dafuer hab.

----------

## de4d

mal ganz was anderes (habich grad beim ersten ueberfliegen gesheen):

```
    0     0 DROP       all  --  any    any     anywhere             10.0.0.0/8         

    0     0 DROP       all  --  any    any     anywhere             172.176.0.0/12     

    0     0 DROP       all  --  any    any     anywhere             192.168.0.0/16     

    0     0 DROP       all  --  any    any     anywhere             224.0.0.0/4       

    0     0 DROP       all  --  any    any     anywhere             240.0.0.0/5       

    0     0 DROP       all  --  any    any     anywhere             localhost         

    0     0 DROP       all  --  any    any     anywhere             217.162.232.0     

    0     0 DROP       all  --  any    any     anywhere             217.162.239.255    
```

das hier heisst doch zu deutsch: 'lass nix durch' oderetwa nicht?

bloederweise schickst du *alle* packets in eins dieser table, die ueber eth0 reinkommen/rausgehen

ok vielleicht hab ich tomaten aufn augen - aber es sieht halt aufn ersten blick so aus

----------

## Deever

 *Quote:*   

> wieso benutzt du ein firewallscript mit 5 verschiedenen adressbereichen, denen du irgendwelche rules aufzudruekcken versuchst,

 

Das sind sogenannte private adressen, die du für ein eigenes netz verwenden kannst, die im internet nicht vorkommen und die auch nicht geroutet werden...

Wenn also pakete von/zu diesen adressen über eth0 gesendet werden, sind sie gespooft!

 *Quote:*   

> und kannst dennoch nicht nachvollziehen, welche rules auf ein icmp packet angewandt werden? 

 

Du hast recht! Mit denen sollte ich mich auch noch beschäftigen...

 *Quote:*   

> wuerdest du so nett sein, und die ip posten, die zu pingen versuchst,

 

Hmmm..wenn die mods nets dagegen haben. Die ip ist die vom router meines isp's : 217.162.232.1

 *Quote:*   

> das hier heisst doch zu deutsch: 'lass nix durch' oderetwa nicht? 
> 
> bloederweise schickst du *alle* packets in eins dieser table, die ueber eth0 reinkommen/rausgehen 
> 
> ok vielleicht hab ich tomaten aufn augen - aber es sieht halt aufn ersten blick so aus

 

Das ist eben die prüfung auf gespuufte adressen (siehe oben)

Tja, das scheint jedenfalls nen komplexeres problem zu sein. Bin jedenfalls net soo bescheuert wie ich anfangs gedacht habe!  :Wink: 

Das problem liegt imho eher an sendto(), oder irre ich da?

Vielen dank für deine/eure hilfe!!  :Smile: 

dev

----------

## de4d

kann es sein dass

```

0   0 DROP    all -- any  any   anywhere       217.162.232.0  

```

ein ganzes subnet bezeichnet? da steht zwar kein mask, aber 217er netzwerke waren mal (by default) 24 bit mask (afair). aber das spielt auch keine rolle. selbst wenns 16 bit waeren, wuerde es 217.162.232.1 beinhalten. 

koennte sein dass die iptables das so interpretieren.

eine gueltige ip adresse isses naemlich nicht.

wenns nich stimmt vierteilt mich halt.

----------

## de4d

nochwas...

wie funktioniert denn die kernel interne spoofprotection?

doppelt genaeht haelt zwar besser. aber in diesem fall wuerde ich mal die manpages darueber lesen (viel anders is das ja garnich moeglich).

----------

