iptables (bestimmten Rechner blocken)

Post Reply
Message
Author
rain

iptables (bestimmten Rechner blocken)

#1 Post by rain »

Hallo,
kann mir vielleicht jemand helfen.
Bin eher ein Rookie, wenn es um Firewalls unter Linux geht und habe auch gleich das Problem, dass ich einen bestimmten
Rechner, der nicht am Surfen teilnehmen darf, blocken moechte. D.h. ich moechte diesen Rechner im Prinzip auf eine andere Seite umleiten (eine-Du-darfst-das-nicht-Seite).
Vielleicht ein weiteres Problem ist auch, dass ich in meinem Netzwerk DHCP verwende und somit nicht garantieren kann, dass immer die gleiche IP verwendet wird. Weiterhin besteht die Moeglichkeit, dass der User, meine Aktion versteht und
sich selbst (ja das darf er. ist eben win98) eine andere IP zuweist.<img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle">
Damit waere ich natuerlich der 2-te Sieger.
Also braeuchte ich eine Loesung, die auf MAC-Adressen basiert (gehe davon aus, dass sich derjenige keine neue Netzwerkkarte jedes mal kauft. Auf dauer wird es eben zu teuer).

Und hier meine Bitte;
Kann mir eben jemand helfen fuer meine iptables conf-datei eine Loesung fuer mein Problem zu erstellen.
Ich verwende RedHat 7.3 und iptable v1.2.5

Vielen Dank im Voraus..
rain

ratte

Re: iptables (bestimmten Rechner blocken)

#2 Post by ratte »

viele teilprobleme, die der reihe nach geloest werden wollen, fangen wir erstmal bei dhcp an:

in der /etc/dhcpd.conf hast du ja sicherlich eine ip-range in der subnet-section vereinbart.

darunter kannst du host-sections angeben:
<blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">
host freund1 {
hardware ethernet 00:12:BC:17:75:6D;
fixed-address 192.168.0.12;
option host-name "freund_1";
}
...
host freund2 ...
</font><hr></pre></blockquote>

indem du nun eine ip-range fuer nur die freundes-rechner angibst, und jede ip aus dieser range anhand der host-section und der jeweiligen mac-adresse an einen bestimmten rechner verbratest, bleibt keine ip fuer fremde mac-adressen uebrig und jeder bekommt _immer_ die gleiche ip.

wenn diese situation geschaffen ist, kannst du das iptables-script angehen.

rain

Re: iptables (bestimmten Rechner blocken)

#3 Post by rain »

Danke...
Okay, das waere kein Problem..
Eigentlich schon erledigt...
Kannst Du mir noch einen Tipp zu iptables geben.?
rain

Swen

Re: iptables (bestimmten Rechner blocken)

#4 Post by Swen »

also mit DHCP einer MAC-Adresse immer die gleiche IP zu geben ändert nicht, daß er sich selber eine andere geben kann ...
Auf eine andere Seite umleiten kannst Du nur mit einem Proxy.
Sperren kannst Du den Zugriff ungefähr so:

$IPTABLES -A FORWARD -i eth0 -o eth1 -m mac --mac-source 00:50:FG:R5:... -j DROP

nicht getestet ... müßte aber so ungefähr gehen.

ratte

Re: iptables (bestimmten Rechner blocken)

#5 Post by ratte »

nun, fuer iptables:

alle policies auf drop
jede ip aus der dhcp-range input erlauben.

damit haste die erste begrenzung.

untested, aber <b>man iptables</b> spricht auch von <i>--mac-source address</i> bezueglich PREROUTING, FORWARD und INPUT chains. sieht ja so aus, als ob du damit deinen besonderen freund genau erfassen kannst.

achja, wenn du die dhcp-ips an mac-adressen knuepfst, guckt jeder, der sich ne neue karte einbaut, in die roehre, weil er keine ip bekommt.

dass sich die leute selbst eine geben koennen, ist schon klar, aber so muss man eine nehmen, die schon in gebrauch ist, zeitgleich geht das in die hose...

besser spaet als nie: squid-proxy mit userlogin einrichten, und mit iptables einen transparenten proxy einrichten, dann kann man nur noch mit passwort surfen, sonst nicht!

ratte

Post Reply