Firewall / iptables

andi.b

Neuer User
Mitglied seit
14 Jul 2006
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen.

Ich möchte mir meinen DSL-Anschluss mit anderen Nutzern per WLAN (im Haus) teilen.

Diesen Nutzern möchte ich nur die Nutzung der Standard-Dienste (http, pop3, smtp, imap und bei Bedarf Messenger wie ICQ o.Ä.) ermöglichen.

Also habe ich an der Fritz.Box bzw. der Firewall folgende Anforderung:

- Sperre für alle Client-IPs alle Dienste
- Entsperre o.g. Standard-Dienste für alle Client-IPs
- Entsperre für einzelne IPs (meine :) ) diverse andere Dienste

Es geht dabei immer um Pakete, die nach außen gehen. Sprich, es sollen Pakete gesperrt werden, die z.B. definitiv was mit filesharing o.Ä. (oder einer anderen nicht-standard-aktivität wie surfen/mails) zu tun haben.

Meine Frage nun: kann ich diese Anforderung mit dem ds-mod und iptables bedienen? Oder gibt es andere Wege? Für Tipps bzgl. iptables in diesem Zusammenhang wäre ich auch sehr dankbar.

Vielen Dank und beste Grüße,

Andi
 
Ja, das geht, allerdings kann natürlich jemand Deine normale IP bei sich eintragen, wenn Dein Rechner offline ist. Damit besitzt er sämtliche Rechte, die Deiner Kiste zugewiesen sind.

Besser: Nutze einen alten (Linux-)Hobel, nimm den als Proxy und verbiete alles Rechnern außer dem Proxy den Internetzugang.

Hoffe, das hilft.

Hawedieehre.
Fant
 
Ein Proxy ist für Mailverkehr keine Lösung. Du könntest aber auch mit einer iptables Firewall Marke Eigenbau zwischen WLAN und LAN trennen, so dass du dich per LAN anschließt und da volle Rechte hast und die anderen per WLAN nur auf die besagten Ports zugreifen läßt.

Mfg,
danisahne
 
Man könnte auch für port-knocking einige zusätzliche Regeln für die Firewall in zwei Skripte schreiben, die quasi nach Anfrage für eine bestimmte IP die Tore aufmachen und später auch wieder schließen. Selbes geht natürlich auch per ssh (siehe PuTTY) gestarteter Skripte:

Code:
plink [email protected] /var/tmp/sesame_open.sh
plink [email protected] /var/tmp/sesame_close.sh
Dann noch zwei Links auf dem Desktop für open und close anlegen und fertig.

MFG pTweety
 
Vielen Dank für die Antworten.

Ich hab hier allerdings noch ein eigenes WLAN-Gerät (Notebook), dem ich natürlich einen exklusiv-zugang gewähren möchte.

Kann mir jemand sagen, ob iptables sich zusätzlich auch auf MAC-Adressen beschränken lässt?

Vielen Dank!
 
Klar kann man das auch auf MAC-Adressen anwenden. Da aber die meisten Crack- und Hacktools es zulassen, die MAC-Adresse beliebig zu ändern, bringt das nicht so richtig viel.

@danisahne:
Wer hindert uns daran, auf dem Proxy auch einen Mailserver mit oder ohne Authentifizierung aufzusetzen?

Haewdieehre.
Fant
 
Nochmals Danke für die Antworten.

Könnte mir bitte jemand ein kurzes IPTables-Beispiel posten, wie ich die o.g. Anforderung umsetzen kann? Bin da leider (noch) nicht so bewandert, würde mir also viel helfen...

DANKE!
 
Gerne:

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state new -m mac --mac 11:22:33:44:55:66:77:88 -j ACCEPT

So ungefähr sollte das aussehen, Syntax bin ich nicht sicher, vielleicht mußt Du noch das Protokoll (also -p udp oder -p tcp) angeben.

Hawedieehre.
Fant
 
prima, danke.

Das setzt quasi die Anforderung "gebe meinem Notebook exklusiv-zugriff" um, richtig?

Wie kann ich allen anderen WLAN-Clients nur die Benutzung von definierten Ports (80, 25, 110, 143 und einige andere) erlauben bzw. die Benutzung aller anderen Ports sperren?

Vielen Dank, ist echtn prima Forum hier! :tup:
 
Im Danisahne-Mod gibt es eine Whiteliste für den Firewall, in dem alles eingetragen werden muß, was ins Netz darf. Um allen WLAN-Clients, die z.B. im Subnetz 192.168.200.0/24 wohnen, Zugriff auf die genannten Dienste im Inet zu gestatten, mußt Du in der Whitelist angeben:

192.168.200.0/24 * T80,T25,T143,T110

Wenn Du statt dem * eine Liste mit MAC-Adressen beifügst, kannst Du das auch auf bestimmte MAC-Adressen einschränken, was eine alternative Lösung zum direkten Eintrag in die Iptables-Liste der FB wäre. Letztendliche passiert ohnehin das gleiche: die Whitelist wird durchgegangen und anhand der Einträge Iptables-Befehle erstellt und ausgeführt.

Hawedieehre.
Fant
 
Kann man denn per iptables jedem IP eine Bandbreite zuweisen?
Also jeder IP 50 kb/s ?
 
Nein, iptables ist ein Paketfilter. Was du suchst ist Traffic Shaping (unter Linux mit tc): HOWTO
Bis jetzt hat sich noch niemand die Mühe gemacht das auf die Fritzbox zu bekommen.

Mfg,
danisahne
 
Denkst du das das jemand in Zukunft machen wird?

Ist halt die Frage...
Ich plane mit jemandem ein ganzes Haus mit Wlan-auszustatten
Nur muss man Wlan Netze immer gut planen, damit das auch flüssig läuft.
Nützt ja nix wenn man nur Halblösungen nutzt.

Von Linux hab ich keine Ahnung, deswegen kann ich das auch nicht auf die fritzbox porten... :noidea:
 

Statistik des Forums

Themen
246,195
Beiträge
2,247,825
Mitglieder
373,748
Neuestes Mitglied
fanti88
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.