Archiv verlassen und diese Seite im Standarddesign anzeigen : das blocken hat doch nicht so ganz geklappt...
meinereinerseiner
20.12.01, 15:36
Hi,
also ein:
iptables -A INPUT -i eth1 -s < ip_des_hosts > -j DROP
blockt mir den host komplett vom gateway - der kommt nun auch nicht mahr an den DNS und den Intranet server.
iptables -A INPUT -i ppp0 -s < ip_des_hosts > -j DROP wird
ignoriert und er kann trotzdem ins inet.
der tom
Moin,
jo, der Befehl block den Host komplett.
Ich weiß im Moment nicht so recht, ob's funktioniert, aber du könntest mal versuchen im oberen Befehl INPUT durch FORWARD zu ersetzen.
Dann wird die IP des Hosts nicht weitergeleitet.... (ist aber nur'n Schnellschuß ;) )
meinereinerseiner
20.12.01, 16:20
nee - das tut nicht.
der tom
Elektronator
20.12.01, 18:20
Wenn du, wie ich vermute, einem speziellen host das Internet verbieten willst:
iptables -A FORWARD -i eth0 -s < ip_des_hosts > -j DROP
Zu beachten: Der host kann dann immer noch Domain Names auflösen, sofern du port 53 nicht auch forwardest, und diese verursachen auch Internet-Traffic.
meinereinerseiner
20.12.01, 18:32
nee, das wars nicht - geht weder für ppp0, noch eth1 - welches das interne LAN repräsentiert. :-(
Moin,
wie kommt den der interne Host ins Netz? Benutzt du IP-Masquerading, 'n Proxy,... ?
meinereinerseiner
20.12.01, 19:17
IP-Masquerading
Also, du willst einem Host das I-Net verbieten, das kann doch nicht so schwer sein...
An deinem Gateway-Rechner hast du ja ip_forwarding aktiviert, damit Packete vom LAN ins I-Net weitergeleitet werden. Dabei werden die lokalen IP-Adressen der Packete noch über Masquerading durch deine offizielle IP ersetzt, das stört und hier aber nicht.
Also verbieten wir dem Host erstmal, Packete direkt ins Internet zu schicken. Der Gateway wertet diesen Traffic nicht als INPUT, da er die Packete ja nur weiterreicht. Also kannst du hier mit einer INPUT-Regel nichts anfangen. Alles, was per ip_forwarding weitergeleitet wird kommt durch die FORWARD-Table. Also, das verbieten wir jetzt:
iptables -A FORWARD -i eth1 -s ip_des_hosts -j DROP
Wie schon richtig bemerkt wurde verursachen auch Anfragen auf deinen Nameserver I-Net-Traffic. Also verbieten wir auch noch diese Anfragen (diesmal ist INPUT die richtige Wahl, der Nameserver läuft ja lokal auf dem Gateway-Rechner):
iptables -A INPUT -i eth1 -p tcp -s ip_des_hosts --dport 53 -j DROP
iptables -A INPUT -i eth1 -p udp -s ip_des_hosts --dport 53 -j DROP
So, das sollte alles gewesen sein, jetzt ist (ausser auf Umwegen) kein I-Net-Traffic mehr möglich.
Solltest du den Nameserver auch für interne Namensauflösungen nutzen wollen, hast du jetzt natürlich ein Problem, aber das willst du denke ich nicht.
Gruß & fröhliche Weihnachten!
Thomas.
Nachtrag: Ich würde die Regeln nicht auf DROP sondern auf REJECT setzten, da der gesperrte Host sonst bei jeder Anfrage auf den Nameserver oder ins Internet in einen Timeout läuft. Bei REJECT bekommt der Host sofort eine ICMP-Meldung, dass der gewünschte service nicht erreichbar ist.
Elektronator
22.12.01, 16:57
ist die gleiche Regel wie bei mir, nämlich auch die einzig richtige.
Ich hoffe aber, daß du die firewall nach jedem Editieren neustartest!
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.