PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : das blocken hat doch nicht so ganz geklappt...



meinereinerseiner
20.12.01, 15:36
Hi,

also ein:
iptables -A INPUT -i eth1 -s < ip_des_hosts > -j DROP

blockt mir den host komplett vom gateway - der kommt nun auch nicht mahr an den DNS und den Intranet server.

iptables -A INPUT -i ppp0 -s < ip_des_hosts > -j DROP wird
ignoriert und er kann trotzdem ins inet.


der tom

kehj
20.12.01, 16:08
Moin,

jo, der Befehl block den Host komplett.

Ich weiß im Moment nicht so recht, ob's funktioniert, aber du könntest mal versuchen im oberen Befehl INPUT durch FORWARD zu ersetzen.
Dann wird die IP des Hosts nicht weitergeleitet.... (ist aber nur'n Schnellschuß ;) )

meinereinerseiner
20.12.01, 16:20
nee - das tut nicht.

der tom

Elektronator
20.12.01, 18:20
Wenn du, wie ich vermute, einem speziellen host das Internet verbieten willst:

iptables -A FORWARD -i eth0 -s < ip_des_hosts > -j DROP

Zu beachten: Der host kann dann immer noch Domain Names auflösen, sofern du port 53 nicht auch forwardest, und diese verursachen auch Internet-Traffic.

meinereinerseiner
20.12.01, 18:32
nee, das wars nicht - geht weder für ppp0, noch eth1 - welches das interne LAN repräsentiert. :-(

kehj
20.12.01, 19:09
Moin,

wie kommt den der interne Host ins Netz? Benutzt du IP-Masquerading, 'n Proxy,... ?

meinereinerseiner
20.12.01, 19:17
IP-Masquerading

Thomas
20.12.01, 22:51
Also, du willst einem Host das I-Net verbieten, das kann doch nicht so schwer sein...


An deinem Gateway-Rechner hast du ja ip_forwarding aktiviert, damit Packete vom LAN ins I-Net weitergeleitet werden. Dabei werden die lokalen IP-Adressen der Packete noch über Masquerading durch deine offizielle IP ersetzt, das stört und hier aber nicht.

Also verbieten wir dem Host erstmal, Packete direkt ins Internet zu schicken. Der Gateway wertet diesen Traffic nicht als INPUT, da er die Packete ja nur weiterreicht. Also kannst du hier mit einer INPUT-Regel nichts anfangen. Alles, was per ip_forwarding weitergeleitet wird kommt durch die FORWARD-Table. Also, das verbieten wir jetzt:

iptables -A FORWARD -i eth1 -s ip_des_hosts -j DROP


Wie schon richtig bemerkt wurde verursachen auch Anfragen auf deinen Nameserver I-Net-Traffic. Also verbieten wir auch noch diese Anfragen (diesmal ist INPUT die richtige Wahl, der Nameserver läuft ja lokal auf dem Gateway-Rechner):


iptables -A INPUT -i eth1 -p tcp -s ip_des_hosts --dport 53 -j DROP
iptables -A INPUT -i eth1 -p udp -s ip_des_hosts --dport 53 -j DROP


So, das sollte alles gewesen sein, jetzt ist (ausser auf Umwegen) kein I-Net-Traffic mehr möglich.
Solltest du den Nameserver auch für interne Namensauflösungen nutzen wollen, hast du jetzt natürlich ein Problem, aber das willst du denke ich nicht.


Gruß & fröhliche Weihnachten!

Thomas.



Nachtrag: Ich würde die Regeln nicht auf DROP sondern auf REJECT setzten, da der gesperrte Host sonst bei jeder Anfrage auf den Nameserver oder ins Internet in einen Timeout läuft. Bei REJECT bekommt der Host sofort eine ICMP-Meldung, dass der gewünschte service nicht erreichbar ist.

Elektronator
22.12.01, 16:57
ist die gleiche Regel wie bei mir, nämlich auch die einzig richtige.
Ich hoffe aber, daß du die firewall nach jedem Editieren neustartest!