ipchains URL verbieten
ipchains URL verbieten
hi
mit ipchains -A input -i ppp0 -p --source microsoft.com -j DENY #<--- *grins*
kann ich die URL microsoft.com blocken.
Wie verhindere ich, daß der Browser ewig sucht, sondern daß eine Standard-HTML ausgegeben wird, die dem User sagt:
Seite in Diesem Netz nicht zulässig
Danke
mit ipchains -A input -i ppp0 -p --source microsoft.com -j DENY #<--- *grins*
kann ich die URL microsoft.com blocken.
Wie verhindere ich, daß der Browser ewig sucht, sondern daß eine Standard-HTML ausgegeben wird, die dem User sagt:
Seite in Diesem Netz nicht zulässig
Danke
Re: ipchains URL verbieten
läuft denn schon lokal ein Web-Server?
dann
ipchains -A input -i ppp0 -p --source microsoft.com -j REDIRECT 80
statt Deny
Gruss Max
dann
ipchains -A input -i ppp0 -p --source microsoft.com -j REDIRECT 80
statt Deny
Gruss Max
Re: ipchains URL verbieten
REJECT statt DENY blockiert den url und sendet sofort "unavailable" zurueck, wohingegen DENY keine Info gibt, und daher entsteht ein Timeout.
ratte
ratte
Funktioniert nicht
Hi
leider funktionieren diese Versionen beide nicht.
ich suche immernoch eine Möglichkeint, mit der ich Internetaddressen sperren und umleitenkann
Danke
ipchains -A input -i ppp0 -p tcp -s msn.de -j REJECT <- hat bei mir die gleiche wirkung wie DENY
ipchains -A input -i ppp0 -p tcp -s msn.de -j REDIRECT 80 <- zeigt nach wie vor msn.de im Browser an
leider funktionieren diese Versionen beide nicht.
ich suche immernoch eine Möglichkeint, mit der ich Internetaddressen sperren und umleitenkann
Danke
ipchains -A input -i ppp0 -p tcp -s msn.de -j REJECT <- hat bei mir die gleiche wirkung wie DENY
ipchains -A input -i ppp0 -p tcp -s msn.de -j REDIRECT 80 <- zeigt nach wie vor msn.de im Browser an
Re: ipchains URL verbieten
bei mir gibt ipchains nen fehler zurueck .. der befehl stimmt irgendwie nicht ?
Re: ipchains URL verbieten
Ich glaube ihr verdreht ipchains und iptables.
Eure Regeln gehen so nur mit iptables (ipchains hat kein REDIRECT-Target), da ist aber noch mehr vermurkst.
Für den Regelvorschlag von Max müsste man im OUTPUT-Chain alle Pakete abfangen, die an den Microsoft-Server gehen, und nicht im INPUT-Chain die von Microsoft kommenden Pakete (anders macht es keinen Sinn, oder wieso sollen die Antwort-Pakete vom MS-Server auf den lokalen Port 80 geleitet werden ?).
Entsprechend müsste auch -i durch -o ersetzt werden, obwohl die Angabe des Interfaces hier nicht zwingend nötig ist.
Also probiert es alle mal mit:
iptables -A OUTPUT -p tcp -d www.microsoft.de -j DROP
bzw.
ipchains -A output -p tcp -d www.microsoft.de -j DENY
/
iptables -A OUTPUT -p tcp -d www.microsoft.de -j REDIRECT --to-ports 80
Eure Regeln gehen so nur mit iptables (ipchains hat kein REDIRECT-Target), da ist aber noch mehr vermurkst.
Für den Regelvorschlag von Max müsste man im OUTPUT-Chain alle Pakete abfangen, die an den Microsoft-Server gehen, und nicht im INPUT-Chain die von Microsoft kommenden Pakete (anders macht es keinen Sinn, oder wieso sollen die Antwort-Pakete vom MS-Server auf den lokalen Port 80 geleitet werden ?).
Entsprechend müsste auch -i durch -o ersetzt werden, obwohl die Angabe des Interfaces hier nicht zwingend nötig ist.
Also probiert es alle mal mit:
iptables -A OUTPUT -p tcp -d www.microsoft.de -j DROP
bzw.
ipchains -A output -p tcp -d www.microsoft.de -j DENY
/
iptables -A OUTPUT -p tcp -d www.microsoft.de -j REDIRECT --to-ports 80
Re: ipchains URL verbieten
Uups ... ipchains hat doch ein REDIRECT-Target.
Dann lag das Problem aber trotzdem daran, dass die Pakete im OUTPUT-Chain abgefangen werden müssen.
Dann lag das Problem aber trotzdem daran, dass die Pakete im OUTPUT-Chain abgefangen werden müssen.
RedHat 6.2 hat kein iptables ;)
finde ja selber, daß iptables eine gute verbesserung von ipchains ist, aber dieser router ist leider ein RH6.2 System. (kernel 2.2.14-5.0
vielleicht nochmal kurze erläuterung:
router im Netzwerk
#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forwad
/sbin/ipchains -F forward
/sbin/ipchains -A forward --source 192.0.0.0/24 --destination 0.0.0.0/0 -j MASQ
Die windows-clients in diesem Netz können somit problemlos online gehen.
wenn ich die Zeile einfüge(z.Bsp.)
/sbin/ipchains -A input -i ppp0 -s wasweissich.de -j DENY
dann können die CLients diese Seite nicht besuchen.
Da Netscape die dumme Angewohnheit hat ewig zu suchen bevor ein eine Fehlermeldung bring, so möchte ich, daß diese Seite vom Router gleich umgeleitet wird auf den Internen Webserver, der dann eine Fehlermeldung ausspuckt.
danke
vielleicht nochmal kurze erläuterung:
router im Netzwerk
#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forwad
/sbin/ipchains -F forward
/sbin/ipchains -A forward --source 192.0.0.0/24 --destination 0.0.0.0/0 -j MASQ
Die windows-clients in diesem Netz können somit problemlos online gehen.
wenn ich die Zeile einfüge(z.Bsp.)
/sbin/ipchains -A input -i ppp0 -s wasweissich.de -j DENY
dann können die CLients diese Seite nicht besuchen.
Da Netscape die dumme Angewohnheit hat ewig zu suchen bevor ein eine Fehlermeldung bring, so möchte ich, daß diese Seite vom Router gleich umgeleitet wird auf den Internen Webserver, der dann eine Fehlermeldung ausspuckt.
danke
Ich glaube dies ist die Lösung ;)
ipchains -A input -p tcp -d microsoft.com -j REDIRECT 80
zumindest scheint es bei mir zu klappen ...
Danke
zumindest scheint es bei mir zu klappen ...
Danke
Re: ipchains URL verbieten
Seltsam,
bei mir kommt <blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">ipchains: No target by that name (Maybe this kernel doesn't support transparent proxying?)</font><hr></pre></blockquote>
ipchains -A input -p tcp -d microsoft.com -j REDIRECT 80 verwende.
Gebe ich als chain deny an geht es. Aber wie schon gesagt, ein Timeout....
bei mir kommt <blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">ipchains: No target by that name (Maybe this kernel doesn't support transparent proxying?)</font><hr></pre></blockquote>
ipchains -A input -p tcp -d microsoft.com -j REDIRECT 80 verwende.
Gebe ich als chain deny an geht es. Aber wie schon gesagt, ein Timeout....
System: SuSe 7.0 - Kernel 2.2.16 - Textkonsole
Re: ipchains URL verbieten
sorry hatte meinen Vorschlag mittels copy&paste eingefügt und nicht darauf geachtet das dort schon --source statt --destination stand...
@Stingway
jepp, was du vorhast braucht einen Kernel der transparent Proxy unterstützt.
In der Kernel-Konfig. einfach die entsprechende Punkte mit auswählen.
Diese Funktion wird bei 2.2.* Kerneln genutzt um einen transparent Proxy mittels ipchains zu realisieren..
Max
@Stingway
jepp, was du vorhast braucht einen Kernel der transparent Proxy unterstützt.
In der Kernel-Konfig. einfach die entsprechende Punkte mit auswählen.
Diese Funktion wird bei 2.2.* Kerneln genutzt um einen transparent Proxy mittels ipchains zu realisieren..
Max
Re: ipchains URL verbieten
@ Bazant
Netscape würde u.U. nicht ewig suchen, wenn du das REJECT-Target statt DENY verwenden würdest.
DENY heisst, dass das entsprechende Paket einfach "verschluckt" wird, die entsprechende Clientapplikation krigt davon nichts mit und wird treudoof auf Antwortpakete warten.
Beim REJECT-Target wird aber ein ICMP-Paket zurückgeschickt, dass dem Client klipp und klar "Nein" sagt, worauf dieser wahrscheinlich auch aufgeben würde.
Netscape würde u.U. nicht ewig suchen, wenn du das REJECT-Target statt DENY verwenden würdest.
DENY heisst, dass das entsprechende Paket einfach "verschluckt" wird, die entsprechende Clientapplikation krigt davon nichts mit und wird treudoof auf Antwortpakete warten.
Beim REJECT-Target wird aber ein ICMP-Paket zurückgeschickt, dass dem Client klipp und klar "Nein" sagt, worauf dieser wahrscheinlich auch aufgeben würde.