Hallo liebes Forum ,

ich hab da ein paar Eintraege von oopeteroo gesehen wo es
um das sperren von ICQ / bzw Messanger geht . Ich habe
das selbe Problemchen , das ich meinen Schuelern das
ICQ verbieten will . Das Netz ist ein 255.255.255.0 und die
Ip Adressen liegen zwischen 192.168.100.2 und 192.168.100.200 .

Mit iptables bin ich eigentlich recht fitt , dreh mich abber grad im
Kreis und find kein End . ICQ hat doch den Port 5190 ...dachte
ich .. aber irgendwie klappts net .. Komme leider grad nicht auf die
Firewall , sonst wuerd ich das iptables Scriptle posteln .

Hat jemand einen brauchbaren Ansatz wie ich den Buben den -Garaus- mach ?

Suse is die 8.1 mit dem Kernel 2.4 .

Gruss,
Andy

Die armen Schüler einfach chatten lassen ;) is total gemein, denen einfach icq zu sperren :P
Hab aber grad kein icq auf der platte, sonst könnt ich dir sagen, welchen port du sperren musst...

ich scheitere an der befelsfolge im iptables ...

ich will das gesamte 255.255.255.0 mit icq sperren !

Den Netzbereich sperrst mit 192.168.0.0/24

/24 bedeutet dann die ersten 24 Bit in der Maske (Binär) also 11111111.11111111.11111111.0000000 = 255.255.255.0 in Dezimal.

1. laß denen doch ICQ, lesen bildet :D
2. vergiss es, über nen proxy kommen die ja doch wieder rein oder notfalls nutzen die einfach den Web-ICQ!
3. schüler sind einfach schlauer :cool:

Bleibt nur alles sperren was nicht raus soll und nen Proxy einrichten der nur freigegebene URL's zuläßt. Aber ob sich dann noch der Unterricht lohnt :)

das die ueber das web reinkoennen weiss ich . aber das macht mir nicht
so viel sorgen . das hab ich schon im griff das es nicht geht :-)


ich hab im script folgende zeile drin stehen

iptables -A FORWARD -i eth1 -p tcp --dport 5190 -j REJECT

damit sollte doch 5190 gesperrt sein ? , oder hab ich einen gewaltigen denkfehler?
wie koennte ic z.b 20000 -20100 sperren ?

**ich bin am verzweifffeln !**

gruss , andy

http://www.all-shop-onine.de

du bist aber kein deutschlehrer oder ? ;) edit: english lehrer


ps: 5190 allein reicht nicht, zum glück M)


jebe

hehe ,nene keine deutsche lehrer .

und welchen port brauch ich noch ausser 5190 ?


hier mal ein schnippsel aus meinem firewall script :

# URG ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,URG URG -j MY_DROP

# Loopback-Netzwerk-Kommunikation zulassen
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Maximum Segment Size (MSS) für das Forwarding an PMTU anpassen
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Connection-Tracking aktivieren
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ! eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# icq verbieten
iptables -A FORWARD -i eth1 -p tcp --dport 5190 -j REJECT
iptables -A FORWARD -i eth1 -p udp --dport 5190 -j REJECT



was mach ich denn falsch ???

steht das irgendwie an der falschen stelle ?

verbiete doch das installieren von software ist wohl eh besser aner schule

also das installieren von software dürfte doch eh nicht möglich sein bei linux ohne root...?
oder?
naja und wenn das ICQ so stört:
Warum deinstallierst du das denn nicht?
Lehrer nutzen das wohl kaum, oder doch?
Also könnte ich mir vorstellen...

jetzt hab ich viele tolle antworten und doch keine loesung .

ich koennte denen auch den stecker ziehen und wieder
zum zeichenbrett zurueckkehren !

iss hier irgendjemand der mal was verwendbares posten kann ?

Ist eth1 externes oder internes Interface?

Da der Port 5190 bei ICQ der Serverport ist müsste eth1 also das interne Interface sein. Dann ist aber seltsam, dass du alle Connections, die nicht von eth1 kommen, forwardest, also alle die von aussen kommen?!

Ich schreibs dir mal mit $INT und $EXT für internes und externes Interface:



# icq verbieten
iptables -A FORWARD -i $INT -p tcp --dport 5190 -m state --state NEW,RELATED,ESTABLISHED,INVALID -j REJECT
iptables -A FORWARD -i $INT -p udp --dport 5190 -m state --state NEW,RELATED,ESTABLISHED,INVALID -j REJECT

# forwarding
iptables -A FORWARD -i ! $EXT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $EXT -m state --state ESTABLISHED,RELATED -j ACCEPT


In dieser Reihenfolge funktioniert es, solange ler Loginport nich abgeändert wird.

installieren nich, aber das ausführen ist noch möglich (im home verzeichnis) kann man aber bestimmt auch verhindern, aber kein plan wie

bei uns an der schule gabs noch gar kein internet ,, wie sich die zeiten ändern ;)

hi tthomas ,

ich teste es grad mal .

eth1 ist bei mir das externe interface .

bis nachher.

Original geschrieben von xxandyxx
jetzt hab ich viele tolle antworten und doch keine loesung .

ich koennte denen auch den stecker ziehen und wieder
zum zeichenbrett zurueckkehren !

iss hier irgendjemand der mal was verwendbares posten kann ?

Das ist doch eine Lösung? :D

Naja aber warum das mit iptables nicht geht, weiss ich auch nicht... ist bei mir leider auch so...
Mein Sohnemann soll das nicht benutzen, aber ich will es haben!
und das klappt so nicht richtig... ausser ich setze chmod so, dass es nur von meinem user gestartet werden kann... ja das ist doch ne lösung.... :ugly:

mach doch einfach eine gruppe lehrer oder so, und nur die darf das starten, alle anderen nicht.
das müsste doch wunderbar gehen.
ODER NICHT?

so noch ne tolle antwort:

bei mir geht icq auch noch mit diesen ports (durch zufall getestet)

5343 6666 9999 5999

Original geschrieben von jebe
so noch ne tolle antwort:

bei mir geht icq auch noch mit diesen ports (durch zufall getestet)

5343 6666 9999 5999

Also ich finde meine Antwort toll...
das ist doch das einfachste unnd effektivste!
Ich meine ICQ soll nicht weg, Schüler sollen es aber nicht nutzen!
Und so funzt das doch wunderbar mit den Rechten!

Naja also ich würde / werde das so machen!

man kann doch bestimmt auch "login.icq.com" sperren, dann wäre der port egal....

Achja nochwas:
Wenn die Schüler ICQ nicht nutzen sollen, und mittels iptables gehindert werden, dann kann doch keiner mehr ICQ nutzen, auch die Lehrer nicht.
ALSO: Warum dann nicht gleich deinstallieren?
Das verstehe ich nicht!
Oder halt meine Lösung...

hi tthomas ,

hab es so gemacht wie du geschrieben hast , aber icq geht immer noch online .

ich poste dir mal das ganze script , vielleicht siehst du ja eher durch !

>>


case "$1" in
start)
echo "Starte IP-Paketfilter"

# iptables-Modul
modprobe ip_tables
# Connection-Tracking-Module
modprobe ip_conntrack
# Das Modul ip_conntrack_irc ist erst bei Kerneln >= 2.4.19 verfuegbar
modprobe ip_conntrack_irc
modprobe ip_conntrack_ftp

# Tabelle flushen
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X

# Default-Policies setzen
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# MY_REJECT-Chain
iptables -N MY_REJECT

# MY_REJECT fuellen
iptables -A MY_REJECT -p tcp -m limit --limit 7200/h -j LOG --log-prefix "REJECT TCP "
iptables -A MY_REJECT -p tcp -j REJECT --reject-with tcp-reset
iptables -A MY_REJECT -p udp -m limit --limit 7200/h -j LOG --log-prefix "REJECT UDP "
iptables -A MY_REJECT -p udp -j REJECT --reject-with icmp-port-unreachable
iptables -A MY_REJECT -p icmp -m limit --limit 7200/h -j LOG --log-prefix "DROP ICMP "
iptables -A MY_REJECT -p icmp -j DROP
iptables -A MY_REJECT -m limit --limit 7200/h -j LOG --log-prefix "REJECT OTHER "
iptables -A MY_REJECT -j REJECT --reject-with icmp-proto-unreachable

# MY_DROP-Chain
iptables -N MY_DROP
iptables -A MY_DROP -m limit --limit 7200/h -j LOG --log-prefix "PORTSCAN DROP "
iptables -A MY_DROP -j DROP

# Alle verworfenen Pakete protokollieren
iptables -A INPUT -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "INPUT INVALID "
iptables -A OUTPUT -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "OUTPUT INVALID "
iptables -A FORWARD -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "FORWARD INVALID "

# Korrupte Pakete zurueckweisen
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP

# Stealth Scans etc. DROPpen
# Keine Flags gesetzt
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j MY_DROP

# SYN und FIN gesetzt
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP

# SYN und RST gleichzeitig gesetzt
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP

# FIN und RST gleichzeitig gesetzt
iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP

# FIN ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP

# PSH ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP

# URG ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,URG URG -j MY_DROP

# Loopback-Netzwerk-Kommunikation zulassen
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Maximum Segment Size (MSS) für das Forwarding an PMTU anpassen
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Connection-Tracking aktivieren
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ! eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# icq verbieten
# iptables -A FORWARD -i eth1 -p tcp --dport 5190 -j REJECT
# iptables -A FORWARD -i eth1 -p udp --dport 5190 -j REJECT

#icq verbieten - tthomas version
iptables -A FORWARD -i eth0 -p tcp --dport 5190 -m state --state NEW,RELATED,ESTABLISHED,INVALID -j REJECT
iptables -A FORWARD -i eth0 -p udp --dport 5190 -m state --state NEW,RELATED,ESTABLISHED,INVALID -j REJECT

#FORWARDING - tthomas version
iptables -A FORWARD -i ! eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT




# HTTP
iptables -A INPUT -i eth1 -m state --state NEW -p tcp --dport 80 -j ACCEPT

# HTTPS
iptables -A INPUT -i eth1 -m state --state NEW -p tcp --dport 443 -j ACCEPT

# SMTP
iptables -A INPUT -i eth1 -m state --state NEW -p tcp --dport 25 -j ACCEPT

# POP3
iptables -A INPUT -i eth1 -m state --state NEW -p tcp --dport 110 -j ACCEPT

# SMB
iptables -A INPUT -i eth1 -m state --state NEW -p tcp --dport 137 -j ACCEPT
iptables -A INPUT -i eth1 -m state --state NEW -p tcp --dport 138 -j ACCEPT
iptables -A INPUT -i eth1 -m state --state NEW -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -i eth1 -m state --state NEW -p udp --dport 137 -j ACCEPT
iptables -A INPUT -i eth1 -m state --state NEW -p udp --dport 138 -j ACCEPT
iptables -A INPUT -i eth1 -m state --state NEW -p udp --dport 139 -j ACCEPT

# SSH
iptables -A INPUT -i eth1 -m state --state NEW -p tcp --dport 22 -j ACCEPT

# MYSQL
iptables -A INPUT -i eth1 -m state --state NEW -p tcp --dport 3306 -j ACCEPT

# LAN-Zugriff auf eth0
iptables -A INPUT -m state --state NEW -i eth0 -j ACCEPT

# Default-Policies mit REJECT
iptables -A INPUT -j MY_REJECT
iptables -A OUTPUT -j MY_REJECT
iptables -A FORWARD -j MY_REJECT

# Routing
echo 1 > /proc/sys/net/ipv4/ip_forward 2> /dev/null

# Masquerading
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

# SYN-Cookies
echo 1 > /proc/sys/net/ipv4/tcp_syncookies 2> /dev/null

# Stop Source-Routing
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_source_route 2> /dev/null; done

# Stop Redirecting
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_redirects 2> /dev/null; done

# Reverse-Path-Filter
for i in /proc/sys/net/ipv4/conf/*; do echo 2 > $i/rp_filter 2> /dev/null; done

# Log Martians
for i in /proc/sys/net/ipv4/conf/*; do echo 1 > $i/log_martians 2> /dev/null; done

# BOOTP-Relaying ausschalten
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/bootp_relay 2> /dev/null; done

# Proxy-ARP ausschalten
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/proxy_arp 2> /dev/null; done

# Ungültige ICMP-Antworten ignorieren
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses 2> /dev/null

# ICMP Echo-Broadcasts ignorieren
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 2> /dev/null

# Max. 500/Sekunde (5/Jiffie) senden
echo 5 > /proc/sys/net/ipv4/icmp_ratelimit

# Speicherallozierung und -timing für IP-De/-Fragmentierung
echo 262144 > /proc/sys/net/ipv4/ipfrag_high_thresh
echo 196608 > /proc/sys/net/ipv4/ipfrag_low_thresh
echo 30 > /proc/sys/net/ipv4/ipfrag_time

# TCP-FIN-Timeout zum Schutz vor DoS-Attacken setzen
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout

# Maximal 3 Antworten auf ein TCP-SYN
echo 3 > /proc/sys/net/ipv4/tcp_retries1

# TCP-Pakete maximal 15x wiederholen
echo 15 > /proc/sys/net/ipv4/tcp_retries2

;;

stop)
echo "Stoppe IP-Paketfilter"
# Tabelle flushen
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
echo "Deaktiviere IP-Routing"
echo 0 > /proc/sys/net/ipv4/ip_forward

# Default-Policies setzen
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;

status)
echo "Tabelle filter"
iptables -L -vn
echo "Tabelle nat"
iptables -t nat -L -vn
echo "Tabelle mangle"
iptables -t mangle -L -vn
;;

*)
echo "Fehlerhafter Aufruf"
echo "Syntax: $0 {start|stop|status}"
exit 1
;;

esac

wie lautet der befehl dafuer ?

auf den clients ist uebrigens windoof 98 und das iss nix mit rechtevergabe
wegen installation etc .. ich muss nun leider diesen holprigen weg nehmen !

Original geschrieben von xxandyxx
wie lautet der befehl dafuer ?

ich will ja nicht nerven, aber warum denn nicht deinstallieren?
wenn du das alles sperrst geht ICQ nicht mehr, für keinen, und dann ist es doch unnötig, noch auf Platte zu haben.
Ich verstehe das nicht, kannst ja mal erklären warum du nicht deinstallieren willst bzw. die Rechte ändern willst...
das ist doch wesentlich einfacher und hat den selben nutzen...

Original geschrieben von xxandyxx
auf den clients ist uebrigens windoof 98 und das iss nix mit rechtevergabe
wegen installation etc .. ich muss nun leider diesen holprigen weg nehmen !
alles klar!
antwort kam später als mein beitrag!
naja dann muss es wohl so sein...

und wie sperre ich nun login.icq.com via iptables ??

Original geschrieben von xxandyxx
auf den clients ist uebrigens windoof 98 und das iss nix mit rechtevergabe
wegen installation etc .. ich muss nun leider diesen holprigen weg nehmen !

win98 .... ohje....und das an rechnern auf denen viele verschiedene leute ARBEITEN sollen? :-)

(ich sag nur: benutzername "con" und nichts geht mehr ;-)

naja, jedenfalls würde ich es so machen:

1. alles sperren
2. für die leherer pcs alles zulassen, auf ip basis
3. für die schüler pcs nur verbindungen zu und von port 80,4xx(https halt) und 21 zulassen. somit können die nur das http(s) und ftp verwenden und alles andere ist schon über die regel 1 gesperrt.


ich versteh garnet wie man dazukommt einzele ports sperren zu müssen da ein sinnvolles sicherheitskonzept eigentlich immer so aussieht:

erstens alles sperren und zweitens gezielt löcher in die firewall zu machen.
nicht andersherum :D

gruß

wie mach ich dem iptables klar das man eine url sperren will ??

heeeeeeeellllllllppppppppp !

stephan :

ích weiss das es mit win98 nicht die tollste loesung ist .
aber das ist ein anderes thema .



tthomas war bisher der einzige der was effektives handgreifliches rueberbrachte !!
auch wenn es nicht funzt ! alles andere hier kann ich nicht in ein script einbinden ,
sondern ist nur ein lueckenfuehler und macht hier eine endlosdiskussion .

die fakten liegen nunmal auf dem tisch und ich steh immer noch vor dem problem

andy

Original geschrieben von xxandyxx
wie mach ich dem iptables klar das man eine url sperren will ??

heeeeeeeellllllllppppppppp !

sperr doch die ip was ist das problem?