Hy,

wir sind zurzeit an einem Projekt zur Umstrukturierung eines Netzwerks. Das Netzwerk soll sehr flexibel sein. d.H man soll verschiedenen PC's einfach mal so das Internet abdrehen können. Dazu will ich nun eine Debiankiste in den Serverschrank stellen welcher über ein Webinterface solche sachen Regeln kann. Der Server hängt an einem Cisco-Switch + Router-Konsole. Der Debianserver wird dort als default-route eingetragen. Die Frage ist nun, wie kann ich (erstmal nur über Konsolenbefehle) einer bestimmten IP den Inet-zugriff verbieten usw.

Der Debianserver ist quasi ein Internetgateway zum DSL-Router.


Vielen Dank

Grüße

Da fällt mir spontan sowas wie iptables ein, allerdings lassen sich die damit realisierten IP-bedingten Sperrungen meist leicht umgehen.
Ansonsten könnte man auch den Cisco-Port runterfahren, was allerdings dazu führen würde, dass gar kein Arbeiten im Netz mehr möglich wäre ... das wäre dann halt *sicher*.

Hallo,

das mit dem Port runterfahren über die serielle Konsole hab ich mir auch schon gedacht, aber da ist dann für einen kompletten Tisch mit einmal das Internet weg. was ich auch noch gehört habe ist, dass man den Rechner in ein VLAN verschieben kann. Jedoch hab ich den Cisco Switch+Router erst am Freitag vor die Nase gesetzt bekommen und damit noch keine Erfahrungen.

Desweiteren, wie kann man eigentlich eine Liste von Befehlen über die serielle Schnitstelle unter Linux raussenden. Quasi ein Skript, welches einen Rechner in ein VLAN verschiebt bzw ein Interface herunter- und hochfährt?


Nachtrag:

Was hälst du von diesem Skript (nur ohne Squid)?
http://www.linuxforen.de/forums/showthread.php?t=255781

Vielen Dank

Grüße

Notausstieg

Hallo,

Desweiteren, wie kann man eigentlich eine Liste von Befehlen über die serielle Schnitstelle unter Linux raussenden. Quasi ein Skript, welches einen Rechner in ein VLAN verschiebt bzw ein Interface herunter- und hochfährt?
Keine Ahnung, ich hänge mich nur bei Bedarf auf meine Ciscos, und damit ich immer weiß, was ich tue, tippe ich die Befehle selber ein.
Ich hatte mal ein Skript, was mir über alle Ciscos lief und da Sicherungen erstellte, aber da ich diese Spielereien mittlerweile dank Cisco-Werkzeugen automatisieren konnte, muss ich mich damit nicht mehr rumschlagen.


Was hälst du von diesem Skript (nur ohne Squid)?
Find ich super ;-), nur gebrauchen kann ich es nicht
Weisst du auch, was das tut?

Verm. reicht für dich ein einfaches:

iptables -I INPUT NR_DER_POSITION_IM_SKRIPT -s IP_DES_BÖSEN_PC -j DROP
um den Weg auf (und somit über) den Debianrechner zu sperren.
Ist aber ungetestet und ohne Nachdenken auf Nebenwirkungen getippt.
Ein
iptables -D NR_DER_POSITION_IM_SKRIPT
räumt damit wieder auf.

Da fällt mir spontan sowas wie iptables ein, allerdings lassen sich die damit realisierten IP-bedingten Sperrungen meist leicht umgehen.
Die sinnvolle Variante ists auch, alle IPs zu sperren und nur einzelne zuzulassen - bei Bedarf kann man einem PC erstmal die Zulassung entziehen.

Das ist wahrscheinlich wesentlich einfacher als scriptgesteuert den Cisco-Switch umzustellen. (Ausserdem hast du wahrscheinlich bei der VLAN-Geschichte das geliche Problem - VLANS wirken auf Ports, nicht auf IP-Adressen. Dann ist schon wieder der ganze Tisch weg.)

Zu IPTables:
Das hier:
http://handsonhowto.com/2007/iptables/
liest sich recht nett an.

Find ich super ;-), nur gebrauchen kann ich es nicht
Weisst du auch, was das tut?


Ich hab gestern mal in Ruhe das Skript im Kopf "geparst", was es anstellt, weis ich ;)

Dieses Skript als Vorlage für ein ifup-Skript ist doch schonmal nicht verkehrt. Nochmal eine Frage, wenn man den Debian-Server einfach so dazwischen hängt und die default-Route einstellt, fängt der dann sofort an weiterzuleiten (mit entsprechenden iptables-Regeln)?

soweit ich mich erinnere musst Du dem system noch sagen, dass er ein Router ist


echo 1 > /proc/sys/net/ipv4/ip_forward

gruesse

Normalerweise ja, wenn

/proc/sys/net/ipv4/ip_forward
auf 1 gesetzt ist und die IPs alle passen.

Vielen Dank für die Hinweise. Da werd ich morgen erstmal kräftig was zum testen haben.

Greets@all

Notausstieg