[GEKLÄRT] Wie kann ich den Zugang zu einzelnen Domains sperren?

[eurosip2]

Ich habe einen Intertex IX67. Bei den Sicherheitseinstellungen komme ich nicht klar. Wie kann ich es anstellen, dass einzelne Domains im Internet nicht aufgerufen werden können?

Kann für die Einstellung mal ein konkretes Beispiel genannt werden?

Vielen Dank

 

[der_Gersthofer]

Es geht wie folgt:

On the Security Profile page click on [Enter additional rules]
Into the appearing Additional rules fields enter:
ET2, Outgoing user, pre, daddr == xxx.xxx.xxx.xxx deny
Click on Save.

xxx.xxx.xxx.xxx ist die IP-Adresse der betreffeneden Webseite

 

[wichard]

Das kann allerdings weit über das Ziel hinausschießen (siehe Arcor) oder (wenn eine Adresse auf mehrere IPs auflösen kann) zu wenig abdecken. "Kollateralschäden" sind also möglich.


Gruß,
Wichard

 

[eurosip2]

Intertex-Einstellungen

soweit ich es richtig verstanden habe (es gibt ja auch ein deutsches menü), habe ich erstmal alles auf engl. umgestellt und die eingaben wie folgt nach bild (siehe unten) unter: "Schnittstelle: WAN et2 Verwendung: sich außen befindend(er)" vorgenommen. ein "pre" habe ich allerdings nicht gefunden, oder muss das mit eingetragen werden? (testweise habe ich abweichend vom bild mal eine zeile auch so eingegeben: pre, daddr == 63.161.150.21 deny - ebenfalls ohne ergebnis).

die eingetragen IPs werden trotz "speichern" und "reset" nicht gesperrt.

wo liegt bei mir der fehler?

 

[betateilchen]

wo liegt bei mir der fehler?

Du hast die korrekte Syntax nicht eingehalten. Es handelt sich im Prinzip um Konfigurationseinträge wie bei iptables. Da gehören mehr Parameter dazu, als das was Du eingetragen hast. Wenn Du Dir das Posting von der_Gersthofer anschaust, siehst Du ganz klar, daß dort auch mehr Parameter gelistet sind.

 

[der_Gersthofer]

Also unter
http://192.168.0.1/profiles.html

wählst du dein aktuell aktives Sicherheitsprofil aus (klick auf "high"/ "low" / "AltConf"). Dort gibt es dann den Eintrag:

Ergänzende Regeln
Einfügen an der Position

und dort kann man doch in den einzelnen Feldern das entsprechend auswählen bzw. eingeben:

ET2 (bzw. welchen Port es eben bei dir betrifft)
Ausgehend, Nutzer
pre
daddr == xxx.xxx.xxx.xxx deny

 

[eurosip2]

sorry, welche paramter meinst du?

"On the Security Profile page click on [Enter additional rules]"
auf diese seite bin ich gekommen: Edit rules for security profile

"Into the appearing Additional rules fields enter:"
ET2, Outgoing user,

das ist das hier: Interface: WAN et2 used as: outside

soweit habe ich es verstanden.

pre, daddr == xxx.xxx.xxx.xxx deny

siehe Bild.

Click on Save.

Abspeichern und Resetten habe ich gemacht. Wo stehen hier mehr Parameter?

Betateilchen: sei so lieb und gib doch mal eine konkretes Beispiel an.

mfg

 

[eurosip2]

Intertex

so - ich habe zumindest rausgefunden, was gemeint ist. nur leider nimmt es der intertex nicht an.

siehe bild:

das problem habe ich inzwischen gelöst, es fehlte das "deny" dahinter.

Nun nimmt er es auch an, aber sperren tut sich nichts.

auch in den Firewallregeln: http://192.168.0.1/rulestat.asp steht nichts.

 

[der_Gersthofer]

Welches Modell? Welche Firmware?
Warum nicht:

daddr == 63.161.150.21 deny

?

 

[eurosip2]

Modell: IX 67 - einfachste Version
Firmware: Version: 4.03

Konfiguration: WAN Verwendung outside
Betriebsmodus: Router
ET1 bis ET4 Verwendung sich innen befindend(er)
IP-Adresse: 192.168.0.1


also alles so eingetragen (wie im bild), wie dargestellt (mit "deny") hat er auch angenommen, allerdings nach speichern und reset steht auch in den Firewallregeln: http://192.168.0.1/rulestat.asp nichts und es tut sich nichts.

Vielleicht kann man das aber auch hier direkt eintragen (unter: http://192.168.0.1/security/editrule.asp?pf=profile1 ) wenn er es sonst nicht fressen tut. Denn hier erscheint es nach dem Abspeichern auch in den Firewallregeln unter: http://192.168.0.1/rulestat.asp

Was müsste dann konkret und wo als Zeile und wie eingetragen werden, am Beispiel der zu sperrenden IP: 63.161.150.21


jungs ich danke euch.

 

[der_Gersthofer]

Was meinst du mit "reset"?

 

[eurosip2]

siehe bild. allerdings habe ich schon bei der vorhergehenden seite unter: http://192.168.0.1/security/profile.asp?pf=profile1&file=/usr/profile1.cfg ganz unten auf "speichern geklickt. doppelt hält besser

 

[eurosip2]

hat keiner eine lösung? siehe posting 10?

mfg

 

[der_Gersthofer]

Hast du es mal mit einem anderen Wert als ET2 versucht (ist ET2 also die Schnittstelle zum WAN?)?

 

[eurosip2]

also über die eingabemaske, wie du beschrieben hast, habe ich alle varianten ausprobiert (ET1, ET2, USB - was allerdings nicht gebraucht wird - und Jedem/Alle) dt. Benutzerführung.

Kann man das nicht hier direkt eintragen (unter: http://192.168.0.1/security/editrule.asp?pf=profile1 ) wenn er es sonst nicht fressen tut?

Probiere es doch mal bei Dir über die Eingabemaske ( http://192.168.0.1/security/profile.asp?pf=profile1&file=/usr/profile1.cfg) aus und schau, was letztendlich unter ( http://192.168.0.1/security/editrule.asp?pf=profile1 ) drinnen steht.
Schon hätten wir die Lösung.

 

[der_Gersthofer]

Beim IX68 gibt es diese beiden URLs so (direkt) nicht.

Ich habe das bei mir gerade mal durchgespielt - und es funktionierte (bei mir ist ET4 die Schnittstelle zum Kabelmodem; Sicherheitsprofil war auf "low" gesetzt, daher habe ich dann auch dort die Regel eingefügt und auf "übernehmen" geklickt). Die Seite der www.pcwelt.de war danach nicht mehr erreichbar

 

[eurosip2]

Hmm. Kurios. Also ET4 wird bei mir nicht angezeigt. Das liegt warscheinlich auch daran, dass beim Ausgang ET4 kein Netzwerkkabel angeschlossen ist.
Ich habe aber, dank Deines Tipps (welches Du ganz nebenbei gemacht hast) folgendes probiert - und siehe da, es funzt.

Ich bin im Sicherheitsprofil auf "low" gegangen, ohne es umzustellen, habe dort, die von Dir vorgebenen Parameter eingegtragen und gespeichert, anschliessend auf http://192.168.0.1/security/editrule.asp?pf=profile2 (low) gegangen, dort die betreffende Zeile (die ja durch die Eintragungen in der Eingabemaske entstanden ist) einfach kopiert und anschliessend in http://192.168.0.1/security/editrule.asp?pf=profile1 (high) reinkopiert. Und siehe da, er, er hats gefressen. Nun erscheint es brav in den Firewallregeln http://192.168.0.1/rulestat.asp und die Seite wird auch geblockt.

Der Sinn, warum das (high) Menü solche Einträge nicht annimmt, ohne dass ein Hinweis kommt, ist mir allerdings ein wenig schleierhaft.

Aber nun funzt es.

Der in den Firewallregeln erscheinende Eintrag sieht nun so aus:
daddr == 207.41.95.54 deny # userdef (et2.ougus.pre)

was "userdef (et2.ougus.pre)", insbesondere "ougus" bedeutet, würde ich dennoch gern wissen wollen

also ich danke dir - wieder ein kleine prob, des sehr zuverlässigen Routers gelöst.

 

[der_Gersthofer]

ET4 ist beim IX68 der (umkonfigurierte) WAN-Anschluss.

# userdef (et2.ougus.pre)

alles was hinter "#" steht sind ja Kommentierungen, die es Programmieren erleichtern sollen, den Code nachzuvollziehen. Hier also:

userdef: vom Nutzer selbst definiert (keine Standardeinstellung)
et2: die Schnittstelle
ougus: ?
pre: vor allen anderen Dingen abarbeiten, die die Firewall dort handhabt