PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : iptables: Inetzugang für User sperren

DerDoc
16.10.02, 06:19
Hallo, in unserem Firmennetz haben einige User (6)Internetzugang und andere (etwa 120) nicht. Ein paar schlaue User haben sich jedoch die Zugangsdaten etc. halt eingetragen und surfen obwohl sie es nicht brauchen für die Arbeit etc.

Auf Wunsch meines Chefs soll ich jetzt explizit den 6 Usern den Zugriff gewähren. Ich habe bereits eine funktionierende Firewall, würde da so eine weitere Regel pro User schon genügen:

iptables -A -s 192.168.0.10 -dport 80 ALLOW

(also den mit der Source-IP und mit Ziel HTTP-Port durchlassen)? Der Rest mit DNS etc. läuft alles prächtig *juhu*

Danke, DerDoc
pudding
16.10.02, 07:03
kommt drauf an wie "schlau" deine user sind...
IP-spoofing ist ja kein grosses problem.

wenn ich mich richtig erinnere arbeitet iptables auch auf MAC ebene...

pudding
DerDoc
16.10.02, 07:37
"Schlau" sind sie beim Installieren von Bildschirmschonern etc. ;) Es sind Angestellte einer Behörde und ich nehme an sie haben IP-Spoofing noch nie gehört.

Die MAC-Addis habe ich auch schon vorgeschlagen, entweder die oder IP. Aber prinzipielle würde die eine Zeile reichen oder?
Belkira
16.10.02, 07:40
Hallo, in unserem Firmennetz haben einige User (6)Internetzugang und andere (etwa 120) nicht. Ein paar schlaue User haben sich jedoch die Zugangsdaten etc. halt eingetragen und surfen obwohl sie es nicht brauchen für die Arbeit etc.

Auf Wunsch meines Chefs soll ich jetzt explizit den 6 Usern den Zugriff gewähren. Ich habe bereits eine funktionierende Firewall, würde da so eine weitere Regel pro User schon genügen:

iptables -A -s 192.168.0.10 -dport 80 ALLOW

(also den mit der Source-IP und mit Ziel HTTP-Port durchlassen)? Der Rest mit DNS etc. läuft alles prächtig *juhu*

Danke, DerDoc
Wie soll man so eine Frage beantworten? :rolleyes: Haben die Rechner dieser sechs User eine feste IP? Warum dann die Frage?

Andernfalls man iptables und nach der mac (--mac-source) Extension Ausschau halten, wie "pudding" schon anmerkte.

Ansonsten ist Deine iptables Zeile sehr fehlerhaft. Es gibt kein ALLOW, allenfalls -j ACCEPT. -dport wäre --dport, gibt es aber nur für tcp Match Extension, also -p tcp. Und die Chain hinter -A ist nicht optional.
pudding
16.10.02, 07:42
ne elegantere möglichkeit wäre nen proy (squid) mit user-auth einzusetzen.
dann gehts nur noch mit password ins i-net.
pudding