#1  (Permalink
Alt 22.09.2003, 04:27
Ehemalige Benutzer Ehemalige Benutzer ist offline
Sammelaccount für Beiträge aufgelöster Benutzeraccounts
 
Registriert seit: 01.02.1999
Beiträge: 0
Standard Interne IPs erlauben/verbieten, übern Router ins Internet zu gehen

Hi Leute,

wer sich meinen ersten Thread übers Trafficshaping angelesen hat, weiß ja, um was für ein System es sich handelt und welche Bedingungen vorherrschen (sollen).

Da es nun dort hoffentlich geklärt ist (werd ich ja sehen), will ich es nun so einrichten, daß auch nur den IPs 192.168.0.2-192.168.0.5 erlaubt ist, ins Internet zu gehen. Damit will ich verhindern, daß sich ein User durch Vergabe einer IP, z.B. 192.168.0.30, durch mein mühsam erstelltes Shaping schummeln kann.
Vergabe läuft derzeit über feste IPs (kein DHCP), damit man im Bedarfsfalle incoming Ports leicht routen kann, mit Subnetz 255.255.255.0 - also im Bereich 192.168.0.*

Das Routing/NAT wird am Softwarerouter derzeit so realisiert (in die Startdatei eingetragen; eth0 als Output deshalb, weil ja derzeit noch Standleitung läuft):
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

Nun meine Frage: Kann ich im System einfach irgendwie festlegen, daß nur den IPs zwischen 192.168.0.2-192.168.0.5 der Zugang ins Internet gewährt ist bzw. daß allen IPs außer den 192.168.0.2-192.168.0.5 der Zugang ins Internet verboten wird?
Mit Zitat antworten
  #2  (Permalink
Alt 22.09.2003, 09:38
mhs mhs ist offline
Mitglied
 
Registriert seit: 30.06.2000
Alter: 40
Beiträge: 353
Provider: T Magenta M Zuhause Hybr
Bandbreite: 100.000/20.000
mhs eine Nachricht über ICQ schicken
Standard

Schau dir mal an, wie Arno Iptables Script das macht:

http://rocky.molphys.leidenuniv.nl/

Kannst du dir dann einfach klauen, hab ich auch so gemacht
Mit Zitat antworten
  #3  (Permalink
Alt 22.09.2003, 12:34
rfk rfk ist offline
Senior Mitglied
 
Registriert seit: 28.12.1999
Ort: Neu-Ulm
Alter: 38
Beiträge: 1.273
Provider: Arcor
Bandbreite: 16M / 1M
rfk eine Nachricht über ICQ schicken
Standard

Wie wärs denn, wenn du einfach nur für diejenigen IP's entsprechende Regeln einträgst?:

Code:
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.2 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.3 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.4 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.5 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -j DROP
Sollten sich doch mehr IP's ergeben, kann man ja auch eine nette Schleife basteln, die die in einem Array definierten IP-Adressen freischaltet.

Magna-Fighter
__________________
Old C programmers never die. They're just cast into void.
Mit Zitat antworten
  #4  (Permalink
Alt 22.09.2003, 13:29
Benutzerbild von N-SmAsH
N-SmAsH N-SmAsH ist offline
Senior Mitglied
 
Registriert seit: 29.07.2002
Ort: Baden-Württemberg
Alter: 34
Beiträge: 2.470
Provider: KabelBW / T-Home
Bandbreite: 100/2.5 u. 18/1
Standard

iptables -t nat -A POSTROUTING -o eth0 -s ! 192.168.0.2-192.168.0.5 -j DROP
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

sollte afaik auch gehen
__________________
debian - the universal system
Mit Zitat antworten
  #5  (Permalink
Alt 22.09.2003, 13:37
Benutzerbild von Dukel
Dukel Dukel ist offline
Senior Mitglied
 
Registriert seit: 27.03.2003
Alter: 39
Beiträge: 2.157
Dukel eine Nachricht über ICQ schicken Dukel eine Nachricht über Yahoo! schicken
Standard

Wenn verbieten, dann per Reject und nicht mit Drop (http://www.iks-jena.de/mitarb/lutz/u...wall.html#Deny).

Ausserdem würde ich die Masq und nicht die Drop / Reject Variante nutzen. Und evtl. eine 2. Regel erstellen (einmal für Incoming und einmal für out).
Mit Zitat antworten
  #6  (Permalink
Alt 22.09.2003, 15:37
Ehemalige Benutzer Ehemalige Benutzer ist offline
Sammelaccount für Beiträge aufgelöster Benutzeraccounts
 
Registriert seit: 01.02.1999
Beiträge: 0
Standard

Arghs natürlich ... -s IP ... bin ich doof!
Und ich hab -s IP grad im andren Thread verwendet...
Mit Zitat antworten
  #7  (Permalink
Alt 22.09.2003, 17:16
rfk rfk ist offline
Senior Mitglied
 
Registriert seit: 28.12.1999
Ort: Neu-Ulm
Alter: 38
Beiträge: 1.273
Provider: Arcor
Bandbreite: 16M / 1M
rfk eine Nachricht über ICQ schicken
Standard

Zitat:
sollte afaik auch gehen
Nein, geht nicht. Bei mir jedenfalls.

Zitat:
Wenn verbieten, dann per Reject und nicht mit Drop
POSTROUTING ist etwas anderes wie INPUT, bei ersterem geht REJECT nämlich nicht, wie folgendes zeigt:

Code:
# iptables -t nat -A POSTROUTING -o eth0 -j REJECT
iptables: Invalid argument
# iptables -t nat -A POSTROUTING -o eth0 -j DROP
#
Magna-Fighter
__________________
Old C programmers never die. They're just cast into void.
Mit Zitat antworten
  #8  (Permalink
Alt 22.09.2003, 17:41
Benutzerbild von Dukel
Dukel Dukel ist offline
Senior Mitglied
 
Registriert seit: 27.03.2003
Alter: 39
Beiträge: 2.157
Dukel eine Nachricht über ICQ schicken Dukel eine Nachricht über Yahoo! schicken
Standard

Ich meinte eher sowas:

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.1-192.168.0.5 -j MASQUERADE

Mir is auch grad eingefallen, das das mit 2 Regeln unsinnig ist. Aber wenn die Syntax der obrigen Regel geht müsste das so gehen.
Mit Zitat antworten
  #9  (Permalink
Alt 22.09.2003, 21:20
rfk rfk ist offline
Senior Mitglied
 
Registriert seit: 28.12.1999
Ort: Neu-Ulm
Alter: 38
Beiträge: 1.273
Provider: Arcor
Bandbreite: 16M / 1M
rfk eine Nachricht über ICQ schicken
Standard

Zitat:
Nein, geht nicht. Bei mir jedenfalls.
Code:
# iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.1-192.168.0.5 -j MASQUERADE
iptables v1.2.7a: host/network `192.168.0.1-192.168.0.5' not found
Try `iptables -h' or 'iptables --help' for more information.
Magna-Fighter
__________________
Old C programmers never die. They're just cast into void.
Mit Zitat antworten
  #10  (Permalink
Alt 23.09.2003, 02:37
Ehemalige Benutzer Ehemalige Benutzer ist offline
Sammelaccount für Beiträge aufgelöster Benutzeraccounts
 
Registriert seit: 01.02.1999
Beiträge: 0
Standard

Naja is egal, dann nimm ich halt für jede IP (sind ja nich viele) eine einzelne iptables-Seite. Vielen Dank nochmal an euch =)
Mit Zitat antworten
 
Anzeige
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Per Router ins Internet Pillemon Arcor [Archiv] 15 30.05.2007 14:00
In Serbien Analog ins internet gehen Licher Sonstige Anbieter und Archiv 3 27.07.2005 20:36
Mit XP-Client über MDA (T-Mobil) ins Internet gehen?! cyberz Mobilfunk: Anbieter und deren Tarife 1 17.11.2004 14:02
Zocken übern Router... xMichax Software 10 05.09.2001 15:06
einem user scp erlauben aber ssh-login verbieten S1LL1UM Linux, BSD, *NIX 1 15.08.2001 14:58


Alle Zeitangaben in WEZ +2. Es ist jetzt 08:25 Uhr.


Basiert auf vBulletin®
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.