also ich hab hier ein kleines netzwerk mit 5 rechern. jeder dieser 5 rechner darf alles im inet machen, also ich hab ausgehend nix gesperrt. Nun möchte ich jedoch einen bestimmten rechner fast komplet ausschließen. das einzige was man an diesem rechner machen darf, sollte normales surfen sein per iexplorer.
Eine möglichkeit dir mir in den sinn gekommen ist wäre ein proxy auf davon bin ich nicht so begeistert. gibt es eine möglichkeit dieses vorhaben elegant per iptables zu lösen ?

Meines wissens nach kann das nur ein Proxy.

Per iptables kannst du nur bestimmen was rein und raus darf (IP-Pakete).
Du kannst aber nicht einem Rechner Zugangsbeschränkungen mit iptables geben, während andere mehr rechte haben, das geht nicht

Bleibt nur der Proxy.

hi


Eine möglichkeit dir mir in den sinn gekommen ist wäre ein proxy auf davon bin ich nicht so begeistert. gibt es eine möglichkeit dieses vorhaben elegant per iptables zu lösen ?

ja das ist möglich. du könntest die 4 rechner innerhalb einer variable zusammenfassen und dann zum beispiel anhand der --source einzelne regeln aufstellen.

Gruß HL

Per iptables kannst du nur bestimmen was rein und raus darf (IP-Pakete).
Du kannst aber nicht einem Rechner Zugangsbeschränkungen mit iptables geben, während andere mehr rechte haben, das geht nicht
Warum nicht? Die Rechner sind zumindest anhand ihrer MAC-Nummer und IP-Adresse auf Paketfilterebene identifizierbar. Für den einen von fünf Rechnern werden dann halt auf dem Router nur Verbindungen auf http und ggf. https Port zugelassen und natürlich zugehörige Antwortpakete.

ich würde vorallem die möglichkeit auf MAC-ebene wählen. IP-spoofing ist ja ne kleinigkeit

pudding

Ach, was würde das Fälschen der IP-Adresse auf Senderseite schon nützen, wenn der Router für den in der Netznutzung eingeschränkten Rechner eine ganz bestimmte (konstante!) IP-Adresse vorsieht? ;)

hi

mit iptables hast du sogar die möglichkeit, regeln für eine bestimmte user id zu erstellen. angenommen an dem rechner der nur www nutzen soll, gibt es 2 user. dem einen willst du alles erlauben und dem anderen eben nur das surfen im web.

dann hast du mit dem owner modul die möglichkeit die user zu *unterscheiden*. das ganze gilt aber nur für die OUTPUT CHAIN und ich weiß nicht genau ob das ganze schon *stable* ist.


Gruß HL

Original geschrieben von HangLoose
hi

mit iptables hast du sogar die möglichkeit, regeln für eine bestimmte user id zu erstellen. angenommen an dem rechner der nur www nutzen soll, gibt es 2 user. dem einen willst du alles erlauben und dem anderen eben nur das surfen im web.

dann hast du mit dem owner modul die möglichkeit die user zu *unterscheiden*. das ganze gilt aber nur für die OUTPUT CHAIN und ich weiß nicht genau ob das ganze schon *stable* ist.


Gruß HL

du weisst ja sachen ;)

pudding

@pudding


du weisst ja sachen ;)

das hab ich mal eben durch meinen *übersetzer* gejagt. ergebnis => "elendes großmaul" :D;)



Gruß HL

Habe gerade keine Zeit das nachzulesen, deswegen nur vage:

Meines Wissens werden in den Packet-Headern keine Owner-Informationen weitergegeben, weshalb die Owner-Unterscheidung nur auf dem Router (bzw. dem System, auf welchem iptables läuft) selbst funktioniert, nicht jedoch wenn die Anfragen von anderen Rechnern im Netz kommen.
Die Owner-Unterscheidung könnte z.B. zum Einsatz kommen, wenn nur der Proxy, welcher eine festgelegte UID hat, Verbindungen ins Internet aufbauen darf, ein (dummer) Trojaner wäre damit nicht fähig, Scripte etc. zu ziehen. Die Owner-Unterscheidung könnte auch zum sinnvoll sein, wenn man mit seinem Rechner direkt am Netz hängt und auch iptables auf diesem System laufen hat, um bestimmte User/Dämonen zu privilegieren bzw. einzuschränken.


Gruß, Thomas.

Original geschrieben von Belkira
Warum nicht? Die Rechner sind zumindest anhand ihrer MAC-Nummer und IP-Adresse auf Paketfilterebene identifizierbar. Für den einen von fünf Rechnern werden dann halt auf dem Router nur Verbindungen auf http und ggf. https Port zugelassen und natürlich zugehörige Antwortpakete.

Danke, das wusste ich noch nicht.

Grüße
DaGrrr

@TThomas


Meines Wissens werden in den Packet-Headern keine Owner-Informationen weitergegeben, weshalb die Owner-Unterscheidung nur auf dem Router (bzw. dem System, auf welchem iptables läuft) selbst funktioniert, nicht jedoch wenn die Anfragen von anderen Rechnern im Netz kommen.

ich würde mal sagen, du hast völlig recht ;). oben hab ich ja selbst geschrieben, das das nur in der OUTPUT CHAIN geht. da hab ich wohl wieder mal gepostet, ohne nach zudenken *ggg*.

Thx für die richtigstellung :)


Gruß HL

Original geschrieben von HangLoose
@pudding



das hab ich mal eben durch meinen *übersetzer* gejagt. ergebnis => "elendes großmaul" :D;)



Gruß HL

da wollt ich dir etwas honig ums maul schmieren und nun kommst du mir so. :D

trotzdem freu ich mich über neues iptables-wissen

pudding

Servus!

> wäre ein proxy auf davon bin ich nicht so begeistert.
Wieso nicht?

Wenn, dann wohl ein transparenter Proxy, da kann der User im Browser nix mehr verstellen ;)

Grüße, Stefan