Nur bestimmte IP's zulassen
Nur bestimmte IP's zulassen
Hallo Leute!
Ich habe da mal eine Frage.
Im Netz meines Wohnheimes habe ich mit Linux (SuSE7.1) einen DSL-Router gebastelt.
Nun würde ich gerne diesen Zugang nur bestimmten Rechner, also IP's, ermöglichen. Frei nach dem Motto: wer nicht zahlt, surft nicht.
Doch da habe ich schon meine Probleme, da ich nicht weiss, wie ich das machen kann.
Ich dachte schon an die Dateien /etc/hosts.allow und /etc/hosts.deny
Ich weiss jedoch nicht, wie dort die entsprechenden Einträge aussehen müssten.
Weiterhin dachte ich an das genutzte IP-Masquerading. Doch auch hier weiss ich nicht die entsprechenden Einträge.
Hätte eventuell jemand eine Lösung für dieses Problem? Vielleicht sogar mit einem Beispiel?
Vielen Dank im voraus.
mfg
Torsten
Ich habe da mal eine Frage.
Im Netz meines Wohnheimes habe ich mit Linux (SuSE7.1) einen DSL-Router gebastelt.
Nun würde ich gerne diesen Zugang nur bestimmten Rechner, also IP's, ermöglichen. Frei nach dem Motto: wer nicht zahlt, surft nicht.
Doch da habe ich schon meine Probleme, da ich nicht weiss, wie ich das machen kann.
Ich dachte schon an die Dateien /etc/hosts.allow und /etc/hosts.deny
Ich weiss jedoch nicht, wie dort die entsprechenden Einträge aussehen müssten.
Weiterhin dachte ich an das genutzte IP-Masquerading. Doch auch hier weiss ich nicht die entsprechenden Einträge.
Hätte eventuell jemand eine Lösung für dieses Problem? Vielleicht sogar mit einem Beispiel?
Vielen Dank im voraus.
mfg
Torsten
Re: Nur bestimmte IP's zulassen
Ja, ganz simpel. Firewall. Eine meiner Meinung nach bessere Moeglichkeit waer Firewall in Verbindung mit Squid-Proxy mit Authentifizierung da die User selbst sonst einfach ihre IP's wechseln wenn der PC des erlaubten abgeschalten ist. (Doppelt gemoppelt ). Ausserdem lassen sich dann mit SARG (www.freshmeat.net) super Statistiken ueber die Download-Mengen herstellen.
Gruss...
Tr0nix
Gruss...
Tr0nix
Re: Nur bestimmte IP's zulassen
Hallo!
Firewall! Gut, habe ich auch. Nur wie und wo konfigurieren.
Soll aber eine Firewall nicht das Netz nach aussen hin schützen?
An einen Proxy dachte ich auch schon, doch diverse meiner Programme wollen nicht so recht mit Proxy und dessen Authentifizierung.
Hast Du eventuell ein paar Tips zum Ding mit der Firewall?
mfg
Torsten
Firewall! Gut, habe ich auch. Nur wie und wo konfigurieren.
Soll aber eine Firewall nicht das Netz nach aussen hin schützen?
An einen Proxy dachte ich auch schon, doch diverse meiner Programme wollen nicht so recht mit Proxy und dessen Authentifizierung.
Hast Du eventuell ein paar Tips zum Ding mit der Firewall?
mfg
Torsten
Re: Nur bestimmte IP's zulassen
Also:
1.)
Masquerading lässt sich auch auf einzelne IP's beschränken.
Bleibt natürlich das von tr0nix angesprochene Problem, dass einige A*-Loch-User dann einfach ihre IP umändern.
Dafür gibt es ja aber zum Beispiel bei Kenel 2.4 / netfilter & iptables den MAC-Match-Support <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"> (naja gut, die MAC-Adresse kann auch mit 'ifconfig hw' gesetzt werden).
2.)
Wenn ein Proxy wegfallen soll (wegen bestimmter Anwendungen, die nicht Proxy-fähig sind) und man die Restriktion alleine auf Paketfilter-Ebene regeln will, bleibt natürlich die Frage, wie man das realisieren möchte.
Das Masquerading auf einzelne IP's beschränken -> schlecht, s.o.
Die Geschichte mit den MAC-Adressen -> je nach Intelligenz der User auch keine gute Lösung (s.o).
Hm.
Wer hat diesbezüglich noch eine gute Idee (jetzt mal abgesehen von einer Proxy-Lösung) ?
PS:
Wenn man das Problem nicht gut auf technischer Ebene lösen kann, dann regele es halt auf eine andere Art und Weise <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">.
1.)
Masquerading lässt sich auch auf einzelne IP's beschränken.
Bleibt natürlich das von tr0nix angesprochene Problem, dass einige A*-Loch-User dann einfach ihre IP umändern.
Dafür gibt es ja aber zum Beispiel bei Kenel 2.4 / netfilter & iptables den MAC-Match-Support <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"> (naja gut, die MAC-Adresse kann auch mit 'ifconfig hw' gesetzt werden).
2.)
Wenn ein Proxy wegfallen soll (wegen bestimmter Anwendungen, die nicht Proxy-fähig sind) und man die Restriktion alleine auf Paketfilter-Ebene regeln will, bleibt natürlich die Frage, wie man das realisieren möchte.
Das Masquerading auf einzelne IP's beschränken -> schlecht, s.o.
Die Geschichte mit den MAC-Adressen -> je nach Intelligenz der User auch keine gute Lösung (s.o).
Hm.
Wer hat diesbezüglich noch eine gute Idee (jetzt mal abgesehen von einer Proxy-Lösung) ?
PS:
Wenn man das Problem nicht gut auf technischer Ebene lösen kann, dann regele es halt auf eine andere Art und Weise <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">.
Re: Nur bestimmte IP's zulassen
Hallo!
Na das hört sich doch schon etwas besser an.
Masquerading auf einzelne IP'# würde mir vorerst reichen. Könntest Du mir auch noch sagen, wie und wo der entsprechende Eintrag gemacht werden muss?
Dafür wäre ich sehr dankbar.
mfg
Torsten
Na das hört sich doch schon etwas besser an.
Masquerading auf einzelne IP'# würde mir vorerst reichen. Könntest Du mir auch noch sagen, wie und wo der entsprechende Eintrag gemacht werden muss?
Dafür wäre ich sehr dankbar.
mfg
Torsten
Re: Nur bestimmte IP's zulassen
Najaaa.. also wenn du nach MAC Adressen gehst isses schon fast paranoid aber was solls. Meiner Meinung nach waer ein Proxy (wenigstens für den WWW-Zugang) immer noch am angebrachtesten. Ich/Wir koennen dir da auch helfen wenn du Probleme hast. Mit welchen Programmen gehen denn deine User ins Internet? Das ist die erste Frage die du dir Stellen musst fuer die Firewall-Rules...
Gruss...
Joel
Gruss...
Joel
Re: Nur bestimmte IP's zulassen
@ Torsten
Also wenn dir eine IP-Beschränkung reicht ...
Masquerading nur für 192.168.1.2:
Kernel 2.4.x / iptables:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A POSTROUTING -t nat -s 192.168.1.2 -j MASQUERADE
Kernel 2.2.x bzw. 2.4.x / ipchains:
echo 1 > /proc/sys/net/ipv4/ip_forward
ipchains -P forward DENY
ipchains -A forward -s 192.168.1.2 -j MASQ
Das ist beispielsweise Masquerading für eine einzelne IP.
Du kannst selbstverständlich beliebig viele weitere Regeln für die anderen IP's definieren.
Also wenn dir eine IP-Beschränkung reicht ...
Masquerading nur für 192.168.1.2:
Kernel 2.4.x / iptables:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A POSTROUTING -t nat -s 192.168.1.2 -j MASQUERADE
Kernel 2.2.x bzw. 2.4.x / ipchains:
echo 1 > /proc/sys/net/ipv4/ip_forward
ipchains -P forward DENY
ipchains -A forward -s 192.168.1.2 -j MASQ
Das ist beispielsweise Masquerading für eine einzelne IP.
Du kannst selbstverständlich beliebig viele weitere Regeln für die anderen IP's definieren.
Re: Nur bestimmte IP's zulassen
hab das nur ueberflogen aber:
auf www.linux-box.de gibt es einen link auf dynacc, der glaube ich dein problem loesen sollte. das programm wurde genau fuer diesen zweck u.a. erstellt.
l
auf www.linux-box.de gibt es einen link auf dynacc, der glaube ich dein problem loesen sollte. das programm wurde genau fuer diesen zweck u.a. erstellt.
l
Re: Nur bestimmte IP's zulassen
Hallo Leute!
Vielen Dank für eure Bemühungen.
Ich sehe schon, ich werde wohl, wenn ich es etwas professioneller gestalten will, nicht um einen Proxy herumkommen.
Tja, ob die Software in meinem Netz das auch kann, muss ich wohl austesten.
Für einige Leute aus dem Netz ist MIRC (IRC unter Win) anscheinend sehr wichtig.
Weiterhin läuft seti@home im komplette Netz. Das kann ja bekanntlich auch nicht mit Proxy-Authentifizierung um. Aber mal schauen.
mfg
Torsten
Vielen Dank für eure Bemühungen.
Ich sehe schon, ich werde wohl, wenn ich es etwas professioneller gestalten will, nicht um einen Proxy herumkommen.
Tja, ob die Software in meinem Netz das auch kann, muss ich wohl austesten.
Für einige Leute aus dem Netz ist MIRC (IRC unter Win) anscheinend sehr wichtig.
Weiterhin läuft seti@home im komplette Netz. Das kann ja bekanntlich auch nicht mit Proxy-Authentifizierung um. Aber mal schauen.
mfg
Torsten
Re: Nur bestimmte IP's zulassen
Mit Mirc kannst du auch einen Proxy benutzen. Ausserdem kannst du sonst ja alle Verbindungen auf Port 6667 (meisten IRC-Server) zulassen und nicht firewallen.
Joel
Joel
Re: Nur bestimmte IP's zulassen
Hallo!
Vielen Dank. Das hilft schon ungemein. Nun sollte wohl auch ein Proxy mit User-Authentifizierung machbar sein.
mfg
Torsten
Vielen Dank. Das hilft schon ungemein. Nun sollte wohl auch ein Proxy mit User-Authentifizierung machbar sein.
mfg
Torsten