PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : LAN IP blocken..



roots
15.10.05, 11:06
tach auch,

hab grad schon gesucht aber irgendwie nix so richtiges gefunden...

ich suche eine möglichkeit, einer IP adresse unseres LANs den zugriff auf andere netzwerkrechner und auf die außenwelt total zu verweigern. als router fungiert eine suse9.0 box mit einem iptables packet filter, der über 'ne olle gui konfiguriert wird, aber nur die möglichkeit gibt, protokolle zu blocken.

kann man mit einem schönen iptables befehl einen ganzen host bzw. alle protokolle eines hosts blocken bzw. droppen?


dank & gruß,
.roots

Dewitt
15.10.05, 12:39
kann man mit einem schönen iptables befehl einen ganzen host bzw. alle protokolle eines hosts blocken bzw. droppen?Log dich doch einfach auf dem Rechner mit der IP Adresse ein und
fahre das Interface runter, oder zieh das Kabel.

roots
15.10.05, 12:50
hast aber 'nen dicken clown gefrühstückt heute! oder etwas sachlicher ausgedrückt: ich habe schon konstruktivere beiträge gelesen.

crazygeek
15.10.05, 12:53
am suse rechner kannst im IMHO nur den weg ins internet abdrehen, da deine box ja nur ein router ist. also alle anfragen die der zu sperrende pc ins LAN stellt (also alles was innerhalb deines subnet liegt) geht nicht über den router. somit kannst nur blocken was über den router geht und das ist alles was nicht in deinem subnet liegt...

roots
15.10.05, 12:57
ähm doch, die LAN anfragen gehen m.e. schon über den router, da der auch als dhcp-/nameserver fungiert.

was an dieser stelle fast noch interessanter wäre als eine IP zu blocken wäre, das ganze MAC spezifisch zu machen, um zb. spoofing zu vermeiden.

Henni
15.10.05, 13:45
Der Verkehr geht trotzdem nicht über den Router. Denn sobald derjenige eine IP hat, kann er alle anderen IPs im Subnet ohne den Router erreichen. Und Nameserver ist auch nur ein 'ich-frage-dich-welche-IP-dieser-Name-gehört' Server. Er fragt nach und wenn er eine IP bekommt, kann er es auflösen, ansonst nicht. Aber über die IP kann er den anderen Rechner trotzdem noch erreichen.
Eine Möglichkeit wäre es, wie Dewitt sagt, dem Rechner Physisch das LAn zu verweigern bzw. das Interface runterzufahren oder ihm per DHCP ein anderes Subnet zuzuweisen. (z.B. Rechner A und B 192.168.0.X und Rechner C 192.168.1.X und Router ist eben in beiden vertreten). Das sollte über die MAC Adresse möglich sein.

lg, Helmut

-hanky-
15.10.05, 13:53
ähm doch, die LAN anfragen gehen m.e. schon über den router, da der auch als dhcp-/nameserver fungiert.


Das glaube ich nicht. Vielleicht falls der Router als Gateway eingestellt ist, aber ansonsten sollten die Anfragen eigentlich nicht über den Router laufen ( die, die ins lokale Netz gehen ).

Bin mir da aber auch nicht 100% sicher.



was an dieser stelle fast noch interessanter wäre als eine IP zu blocken wäre, das ganze MAC spezifisch zu machen, um zb. spoofing zu vermeiden.

Das halte ich für keine gute Idee. Weder das Eine noch das Andere.
Eine IP-Adresse zu blocken ist insofern sinnfrei, als der Client sich ja selbst eine beliebige IP-Adresse aus der Range zuweisen kann, er muss ja nicht DHCP nutzen. Was das Blocken bestimmter IPs ausschließt und eher noch zu Problemen führt.

Du könntest höchstens nach dem Whitelist-Verfahren vorgehen und nur bestimmte IPs erlauben. Und selbst dann kann der Client sich noch selbst eine IP-Adresse zuweisen die erlaubt ist. Und du hast den Stress.

MAC spezifisch ist ebenfalls nutzlos, da man MAC-Adressen selbst vergeben ( manche sagen auch die bestehende Adresse fälschen ;) ) und den Schutz hiermit aushebeln kann. Stellt sich also das gleiche Problem wie bei den IP-Adressen.

Auch wenn die Antwort von Dewitt vielleicht nicht konstruktiv war, hat er Recht - wieso willst du einem Rechner, der physikalischen Zugriff auf das Netz hat den Zugang dazu verweigern? Wenn es nur um den Internetzugang ginge wäre das ja verständlich, aber wenn du auch das normale LAN blocken möchtest kannst du ihm wirklich den Stecker ziehen.

-hanky-

rufus
15.10.05, 14:07
Und weshalb versuchst du es nicht mit einem VPN?

bla!zilla
15.10.05, 15:25
Was bietet ein VPN bei seinem Problem für einen Lösungsansatz? Auch der Ansatz das Problem am Router zu lösen ist falsch. Der Rechner erreicht das lokale Subnet direkt und nicht über den Router. Ein möglicher Lösungsansatz wäre der Einsatz eines Packetfilters auf dem betreffenden Rechner. Die Regel ist recht simpel: Alle Packete mit einer bestimmten MAC-Adresse (die von dem betreffenden Rechner) die nach Außen wollen, nicht für den Rechner selber bestimmt sind, und auch nicht für das Loopbackinterface, sind zu verwerfen. Alles was von Außen reinkommt wird verworfen. Fertig. Kommunikation über das Loopbackinterface von von der eigenen IP, zur eigenen IP wirst du zulassen müssen. Sonst kann es passieren das die einige Programme ins Essen brechen.

Dewitt
22.10.05, 14:35
hast aber 'nen dicken clown gefrühstückt heute! oder etwas sachlicher ausgedrückt: ich habe schon konstruktivere beiträge gelesen.

Konstruktiv?

iptables -A INPUT -s $SRC_IP4/32 -m mac --mac-source AA:BB:CC:0D:EE:FF -j REJECT

Aber wie gesagt, man braucht kein DHCP, MAC Adressen kann man nach belieben
ändern und Netzwerkinterfaces (TP / WLAN) gibt's für wenig Geld überall mit frischen
MACs. Außerdem brauchst du für das obige IPtables Module, die evtl. nicht bei jedem
kompiliert sind.

Die Sache mit dem VPN ist ein nettes Gedankenspiel. Man kann eine IP Range nach
$INTERNES_NETZ fahren, die allerdings keine Verbindung nach außen hat. Man kann
auch mit mehreren IP Netzen über mehrere VLANs das physikalische Netz insoweit
aufsplitten, dass jeder Raum sein eigenes Netz hat. Jeder autorisierte Client im internen
Netz muss sich dann per VPN am Server/Router authentifizieren und bekommt eine IP
aus einem gemeinsamen Virtuellen Privaten Netz, in dem dann alle autorisierten Clients
hängen.

Sozusagen Internet zuhause/in_der_firma... Nur wer ist so psycho um das zu machen?
Wer hat die Zeit und Lust zu soetwas? Ist das nicht zu overdosed wegen einem Client?


ich suche eine möglichkeit, einer IP adresse unseres LANs den zugriff auf andere netzwerkrechner und auf die außenwelt total zu verweigern. als router fungiert eine suse9.0 box mit einem iptables packet filter, der über 'ne olle gui konfiguriert wird, aber nur die möglichkeit gibt, protokolle zu blocken.

kann man mit einem schönen iptables befehl einen ganzen host bzw. alle protokolle eines hosts blocken bzw. droppen?

iptables -A INPUT -s $SRC_IP4 -j DROP

Aber es ist zum verzweifeln, nich? ;)