hallo

ich hab eine kleine firewall laufen und bin jetzt noch auf die idee gekommen, bestimmte domains komplett zu verbieten (weil sich ja bekannterweise einige windoof-programme ungefragt mit dem internet verbinden wollen). hab einen win98-rechner der über suse 7.0-linux und squid als proxy ins internet geht. der linux-rechner hat 2 netzwerkkarten eth0 & eth1 wobei eth0 mit dem lokalen netz über einen switch verbunden ist und eth1 ans tdsl-modem geht und dann zu ppp0 wird. so hab ich auf dem linux-rechner ein script in dem u.a. steht:

ipchains -A output -i ppp0 -d www.microsoft.com -j DENY
ipchains -A output -i ppp0 -d www.netscape.com -j DENY

wenn ich nach aktivierung des scriptes im explorer www.microsoft.com eingebe, dann findet er die seite nicht, was ich erwartet hatte. aber wenn ich www.netscape.com eingebe, dann öffnet er die seite immer und man kann sie sich komplett ansehen. erst dachte ich, das der explorer die seiten noch im cache hat, aber als ich den sqiud-cache neu aufgerbaut hatte und im explorer selbst auch alle temporären files gelöscht hatte gings trotzdem noch !!! wieso werden pakete mit dieser zieladresse durchgelassen, oder was stimmt da nicht?


tenim:confused:

vielleicht liegt es daran, das netscape unterschiedliche IP-Adressen benutzt!?

Ist nur so eine Idee...

Hi tenim,

vielleicht wird netscape.com als eine art proxy benutzt, d.h.
das von Deinem Rechner aus die Aufforderung zu microsoft
zu gehen garnicht kommt, sondern von netscape aus, dann
würde nähmlich Deine Netztwerkkarte die Anfrage garnicht
stellen und die ipchains auch nicht blokieren.

Du kannst ja mal folgendes eingeben:

-A output -i ppp0 -d 0.0.0.0/0.0.0.0 -j ACCEPT -l

und dann in Deinen Logfiles nachsehen.

Timbo

Hallöchen,

ich habe ein solch ähnliches Problem. Und zwar habe ich folgende Zeilen in der ipchains:

ipchains -A input -i ppp0 -s 0/0 -d 0/0 901 -j DENY
ipchains -A input -i eth0 -s 0/0 -d 0/0 901 -j ACCEPT

Und zwar geht es hier um folgenden Input-Befehl: Der Rechner soll eingehende Anfragen für SWAT im Netzwerk akzeptieren, jedoch Anfragen, die vom Internet aus kommen blocken. Die Standart-Policy von Input habe ich auf ACCEPT gesetzt. Wenn ich nun einen Test mit dem Parameter -C mache und dann eine Anfrage aus dem Inet "simuliere", wird es trotzdem akzeptiert. Warum?

thx
Massacre

Als Idee, aber warum laesst du den Proxy nicht als *Transparenten Proxy* laufen ?
Dann kannst du doch ueber einen externe File alle Adressen sperren, die nicht angesurft werden sollen ? Dann alle Ports dicht machen, bis auf DNS und was du sonst intern brauchst, aber als INPUT- Chain.
Siehe auch: http://www.linuxforen.de/forums/showthread.php?s=&threadid=30798
Da hatte ich ein kleines Script gepostet, auch mit transparenten Proxy.

@Elitemassacre
Ich wuerde folgende Regeln schreiben:
ipchains -A input -i ppp0 -s 0/0 -d IP-der Firewall aussen/32 901 -j DENY
ipchains -A input -i eth0 -s IP-vom inneren Netz / Maske(24) -d IP der Netzwerkkarte innen/32 901 -j ACCEPT

Also die Regel enger fassen, direkter.
Erklaerung:
/32 --> ist das selbe wie 255.255.255.255
/24 --> ist das selbe wie 255.255.255.0

T;o)Mes