Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
iptables (bestimmten Rechner blocken)

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Netzwerk
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
rain
Gast





BeitragVerfasst am: 04. Nov 2002 21:33   Titel: iptables (bestimmten Rechner blocken)

Hallo,
kann mir vielleicht jemand helfen.
Bin eher ein Rookie, wenn es um Firewalls unter Linux geht und habe auch gleich das Problem, dass ich einen bestimmten
Rechner, der nicht am Surfen teilnehmen darf, blocken moechte. D.h. ich moechte diesen Rechner im Prinzip auf eine andere Seite umleiten (eine-Du-darfst-das-nicht-Seite).
Vielleicht ein weiteres Problem ist auch, dass ich in meinem Netzwerk DHCP verwende und somit nicht garantieren kann, dass immer die gleiche IP verwendet wird. Weiterhin besteht die Moeglichkeit, dass der User, meine Aktion versteht und
sich selbst (ja das darf er. ist eben win98) eine andere IP zuweist.
Damit waere ich natuerlich der 2-te Sieger.
Also braeuchte ich eine Loesung, die auf MAC-Adressen basiert (gehe davon aus, dass sich derjenige keine neue Netzwerkkarte jedes mal kauft. Auf dauer wird es eben zu teuer).

Und hier meine Bitte;
Kann mir eben jemand helfen fuer meine iptables conf-datei eine Loesung fuer mein Problem zu erstellen.
Ich verwende RedHat 7.3 und iptable v1.2.5

Vielen Dank im Voraus..
rain
 

ratte
Gast





BeitragVerfasst am: 04. Nov 2002 22:47   Titel: Re: iptables (bestimmten Rechner blocken)

viele teilprobleme, die der reihe nach geloest werden wollen, fangen wir erstmal bei dhcp an:

in der /etc/dhcpd.conf hast du ja sicherlich eine ip-range in der subnet-section vereinbart.

darunter kannst du host-sections angeben:
code:

host freund1 {
hardware ethernet 00:12:BC:17:75:6D;
fixed-address 192.168.0.12;
option host-name "freund_1";
}
...
host freund2 ...



indem du nun eine ip-range fuer nur die freundes-rechner angibst, und jede ip aus dieser range anhand der host-section und der jeweiligen mac-adresse an einen bestimmten rechner verbratest, bleibt keine ip fuer fremde mac-adressen uebrig und jeder bekommt _immer_ die gleiche ip.

wenn diese situation geschaffen ist, kannst du das iptables-script angehen.
 

rain
Gast





BeitragVerfasst am: 04. Nov 2002 23:50   Titel: Re: iptables (bestimmten Rechner blocken)

Danke...
Okay, das waere kein Problem..
Eigentlich schon erledigt...
Kannst Du mir noch einen Tipp zu iptables geben.?
rain
 

Swen
Gast





BeitragVerfasst am: 05. Nov 2002 13:05   Titel: Re: iptables (bestimmten Rechner blocken)

also mit DHCP einer MAC-Adresse immer die gleiche IP zu geben ändert nicht, daß er sich selber eine andere geben kann ...
Auf eine andere Seite umleiten kannst Du nur mit einem Proxy.
Sperren kannst Du den Zugriff ungefähr so:

$IPTABLES -A FORWARD -i eth0 -o eth1 -m mac --mac-source 00:50:FG:R5:... -j DROP

nicht getestet ... müßte aber so ungefähr gehen.
 

ratte
Gast





BeitragVerfasst am: 05. Nov 2002 18:57   Titel: Re: iptables (bestimmten Rechner blocken)

nun, fuer iptables:

alle policies auf drop
jede ip aus der dhcp-range input erlauben.

damit haste die erste begrenzung.

untested, aber man iptables spricht auch von --mac-source address bezueglich PREROUTING, FORWARD und INPUT chains. sieht ja so aus, als ob du damit deinen besonderen freund genau erfassen kannst.

achja, wenn du die dhcp-ips an mac-adressen knuepfst, guckt jeder, der sich ne neue karte einbaut, in die roehre, weil er keine ip bekommt.

dass sich die leute selbst eine geben koennen, ist schon klar, aber so muss man eine nehmen, die schon in gebrauch ist, zeitgleich geht das in die hose...

besser spaet als nie: squid-proxy mit userlogin einrichten, und mit iptables einen transparenten proxy einrichten, dann kann man nur noch mit passwort surfen, sonst nicht!

ratte
 

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Netzwerk Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy