Nur bestimmte IP's zulassen

Post Reply
Message
Author
Torsten

Nur bestimmte IP's zulassen

#1 Post by Torsten »

Hallo Leute!

Ich habe da mal eine Frage.
Im Netz meines Wohnheimes habe ich mit Linux (SuSE7.1) einen DSL-Router gebastelt.
Nun würde ich gerne diesen Zugang nur bestimmten Rechner, also IP's, ermöglichen. Frei nach dem Motto: wer nicht zahlt, surft nicht.
Doch da habe ich schon meine Probleme, da ich nicht weiss, wie ich das machen kann.
Ich dachte schon an die Dateien /etc/hosts.allow und /etc/hosts.deny
Ich weiss jedoch nicht, wie dort die entsprechenden Einträge aussehen müssten.
Weiterhin dachte ich an das genutzte IP-Masquerading. Doch auch hier weiss ich nicht die entsprechenden Einträge.
Hätte eventuell jemand eine Lösung für dieses Problem? Vielleicht sogar mit einem Beispiel?

Vielen Dank im voraus.

mfg

Torsten

tr0nix

Re: Nur bestimmte IP's zulassen

#2 Post by tr0nix »

Ja, ganz simpel. Firewall. Eine meiner Meinung nach bessere Moeglichkeit waer Firewall in Verbindung mit Squid-Proxy mit Authentifizierung da die User selbst sonst einfach ihre IP's wechseln wenn der PC des erlaubten abgeschalten ist. (Doppelt gemoppelt ;)). Ausserdem lassen sich dann mit SARG (www.freshmeat.net) super Statistiken ueber die Download-Mengen herstellen.

Gruss...
Tr0nix

Torsten

Re: Nur bestimmte IP's zulassen

#3 Post by Torsten »

Hallo!

Firewall! Gut, habe ich auch. Nur wie und wo konfigurieren.
Soll aber eine Firewall nicht das Netz nach aussen hin schützen?
An einen Proxy dachte ich auch schon, doch diverse meiner Programme wollen nicht so recht mit Proxy und dessen Authentifizierung.
Hast Du eventuell ein paar Tips zum Ding mit der Firewall?

mfg

Torsten

Sebastian Ude

Re: Nur bestimmte IP's zulassen

#4 Post by Sebastian Ude »

Also:

1.)

Masquerading lässt sich auch auf einzelne IP's beschränken.
Bleibt natürlich das von tr0nix angesprochene Problem, dass einige A*-Loch-User dann einfach ihre IP umändern.
Dafür gibt es ja aber zum Beispiel bei Kenel 2.4 / netfilter & iptables den MAC-Match-Support <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"> (naja gut, die MAC-Adresse kann auch mit 'ifconfig hw' gesetzt werden).

2.)

Wenn ein Proxy wegfallen soll (wegen bestimmter Anwendungen, die nicht Proxy-fähig sind) und man die Restriktion alleine auf Paketfilter-Ebene regeln will, bleibt natürlich die Frage, wie man das realisieren möchte.

Das Masquerading auf einzelne IP's beschränken -> schlecht, s.o.

Die Geschichte mit den MAC-Adressen -> je nach Intelligenz der User auch keine gute Lösung (s.o).

Hm.
Wer hat diesbezüglich noch eine gute Idee (jetzt mal abgesehen von einer Proxy-Lösung) ?


PS:

Wenn man das Problem nicht gut auf technischer Ebene lösen kann, dann regele es halt auf eine andere Art und Weise <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">.

Torsten

Re: Nur bestimmte IP's zulassen

#5 Post by Torsten »

Hallo!

Na das hört sich doch schon etwas besser an.
Masquerading auf einzelne IP'# würde mir vorerst reichen. Könntest Du mir auch noch sagen, wie und wo der entsprechende Eintrag gemacht werden muss?
Dafür wäre ich sehr dankbar.

mfg

Torsten

tr0nix

Re: Nur bestimmte IP's zulassen

#6 Post by tr0nix »

Najaaa.. also wenn du nach MAC Adressen gehst isses schon fast paranoid aber was solls. Meiner Meinung nach waer ein Proxy (wenigstens für den WWW-Zugang) immer noch am angebrachtesten. Ich/Wir koennen dir da auch helfen wenn du Probleme hast. Mit welchen Programmen gehen denn deine User ins Internet? Das ist die erste Frage die du dir Stellen musst fuer die Firewall-Rules...

Gruss...
Joel

Sebastian Ude

Re: Nur bestimmte IP's zulassen

#7 Post by Sebastian Ude »

@ Torsten

Also wenn dir eine IP-Beschränkung reicht ...


Masquerading nur für 192.168.1.2:


Kernel 2.4.x / iptables:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A POSTROUTING -t nat -s 192.168.1.2 -j MASQUERADE

Kernel 2.2.x bzw. 2.4.x / ipchains:

echo 1 > /proc/sys/net/ipv4/ip_forward
ipchains -P forward DENY
ipchains -A forward -s 192.168.1.2 -j MASQ


Das ist beispielsweise Masquerading für eine einzelne IP.
Du kannst selbstverständlich beliebig viele weitere Regeln für die anderen IP's definieren.

leon

Re: Nur bestimmte IP's zulassen

#8 Post by leon »

hab das nur ueberflogen aber:

auf www.linux-box.de gibt es einen link auf dynacc, der glaube ich dein problem loesen sollte. das programm wurde genau fuer diesen zweck u.a. erstellt.

l

Torsten

Re: Nur bestimmte IP's zulassen

#9 Post by Torsten »

Hallo Leute!

Vielen Dank für eure Bemühungen.
Ich sehe schon, ich werde wohl, wenn ich es etwas professioneller gestalten will, nicht um einen Proxy herumkommen.
Tja, ob die Software in meinem Netz das auch kann, muss ich wohl austesten.
Für einige Leute aus dem Netz ist MIRC (IRC unter Win) anscheinend sehr wichtig.
Weiterhin läuft seti@home im komplette Netz. Das kann ja bekanntlich auch nicht mit Proxy-Authentifizierung um. Aber mal schauen.

mfg

Torsten

tr0nix

Re: Nur bestimmte IP's zulassen

#10 Post by tr0nix »

Mit Mirc kannst du auch einen Proxy benutzen. Ausserdem kannst du sonst ja alle Verbindungen auf Port 6667 (meisten IRC-Server) zulassen und nicht firewallen.

Joel

Torsten

Re: Nur bestimmte IP's zulassen

#11 Post by Torsten »

Hallo!

Vielen Dank. Das hilft schon ungemein. Nun sollte wohl auch ein Proxy mit User-Authentifizierung machbar sein.

mfg

Torsten

Post Reply