ipchains URL verbieten

[Bazant]

hi


mit ipchains -A input -i ppp0 -p --source microsoft.com -j DENY #<--- *grins*
kann ich die URL microsoft.com blocken.
Wie verhindere ich, daß der Browser ewig sucht, sondern daß eine Standard-HTML ausgegeben wird, die dem User sagt:
Seite in Diesem Netz nicht zulässig

Danke

[Max]

läuft denn schon lokal ein Web-Server?
dann
ipchains -A input -i ppp0 -p --source microsoft.com -j REDIRECT 80
statt Deny
Gruss Max

[ratte]

REJECT statt DENY blockiert den url und sendet sofort "unavailable" zurueck, wohingegen DENY keine Info gibt, und daher entsteht ein Timeout.

ratte

[Bazant]

Hi

leider funktionieren diese Versionen beide nicht.
ich suche immernoch eine Möglichkeint, mit der ich Internetaddressen sperren und umleitenkann

Danke

ipchains -A input -i ppp0 -p tcp -s msn.de -j REJECT <- hat bei mir die gleiche wirkung wie DENY
ipchains -A input -i ppp0 -p tcp -s msn.de -j REDIRECT 80 <- zeigt nach wie vor msn.de im Browser an

[Anonymous]

bei mir gibt ipchains nen fehler zurueck .. der befehl stimmt irgendwie nicht ?

[Sebastian Ude]

Ich glaube ihr verdreht ipchains und iptables.

Eure Regeln gehen so nur mit iptables (ipchains hat kein REDIRECT-Target), da ist aber noch mehr vermurkst.

Für den Regelvorschlag von Max müsste man im OUTPUT-Chain alle Pakete abfangen, die an den Microsoft-Server gehen, und nicht im INPUT-Chain die von Microsoft kommenden Pakete (anders macht es keinen Sinn, oder wieso sollen die Antwort-Pakete vom MS-Server auf den lokalen Port 80 geleitet werden ?).

Entsprechend müsste auch -i durch -o ersetzt werden, obwohl die Angabe des Interfaces hier nicht zwingend nötig ist.

Also probiert es alle mal mit:


iptables -A OUTPUT -p tcp -d www.microsoft.de -j DROP

bzw.

ipchains -A output -p tcp -d www.microsoft.de -j DENY

/

iptables -A OUTPUT -p tcp -d www.microsoft.de -j REDIRECT --to-ports 80

[Sebastian Ude]

Uups ... ipchains hat doch ein REDIRECT-Target.

Dann lag das Problem aber trotzdem daran, dass die Pakete im OUTPUT-Chain abgefangen werden müssen.

[Bazant]

finde ja selber, daß iptables eine gute verbesserung von ipchains ist, aber dieser router ist leider ein RH6.2 System. (kernel 2.2.14-5.0
vielleicht nochmal kurze erläuterung:
router im Netzwerk

#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forwad
/sbin/ipchains -F forward
/sbin/ipchains -A forward --source 192.0.0.0/24 --destination 0.0.0.0/0 -j MASQ

Die windows-clients in diesem Netz können somit problemlos online gehen.
wenn ich die Zeile einfüge(z.Bsp.)
/sbin/ipchains -A input -i ppp0 -s wasweissich.de -j DENY
dann können die CLients diese Seite nicht besuchen.
Da Netscape die dumme Angewohnheit hat ewig zu suchen bevor ein eine Fehlermeldung bring, so möchte ich, daß diese Seite vom Router gleich umgeleitet wird auf den Internen Webserver, der dann eine Fehlermeldung ausspuckt.

danke

[Bazant]

ipchains -A input -p tcp -d microsoft.com -j REDIRECT 80
zumindest scheint es bei mir zu klappen ...

Danke

[stingway]

Seltsam,
bei mir kommt <blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">ipchains: No target by that name (Maybe this kernel doesn't support transparent proxying?)</font><hr></pre></blockquote>

ipchains -A input -p tcp -d microsoft.com -j REDIRECT 80 verwende.

Gebe ich als chain deny an geht es. Aber wie schon gesagt, ein Timeout....

[Max]

sorry hatte meinen Vorschlag mittels copy&paste eingefügt und nicht darauf geachtet das dort schon --source statt --destination stand...
@Stingway
jepp, was du vorhast braucht einen Kernel der transparent Proxy unterstützt.
In der Kernel-Konfig. einfach die entsprechende Punkte mit auswählen.
Diese Funktion wird bei 2.2.* Kerneln genutzt um einen transparent Proxy mittels ipchains zu realisieren..
Max

[Sebastian Ude]

@ Bazant

Netscape würde u.U. nicht ewig suchen, wenn du das REJECT-Target statt DENY verwenden würdest.

DENY heisst, dass das entsprechende Paket einfach "verschluckt" wird, die entsprechende Clientapplikation krigt davon nichts mit und wird treudoof auf Antwortpakete warten.

Beim REJECT-Target wird aber ein ICMP-Paket zurückgeschickt, dass dem Client klipp und klar "Nein" sagt, worauf dieser wahrscheinlich auch aufgeben würde.