[Frage] Zugang einschränken, 3 Webseiten erlauben und WLAN AP

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Für was genau hat der Verein eine Rechnung bekommen? Oder mit anderen Worten, gegen was soll das System geschützt werden?
Ihr habt doch wohl nicht ein Dial-In System, das über eine Telefon-Leitung anruft? Für DSL gibt es (noch) genug Flatrates, und auch bei Internet über UMTS gibt es begrenzte Kosten allerdings mit begrenztem Volumen.

Diese ganzen Vorschläge zur Beschränkung von DNS bringen Dich nicht weiter, es gibt auch andere DNS Server. Installiere OpenWRT auf einen unterstützten Router, konfiguriere iptables so, dass als Ziel nur die drei Webseiten erreichbar sind. Konfiguriere außerdem einen DNS-Server auf dem Router, der die Adressen für die unterstützten Webseiten direkt ausliefert. Für unbekannte Namen soll er keine DNS-Auflösung machen, sondern eine feste Adresse zurück geben. Wenn Du es etwas eleganter haben willst, richtest Du zusätzlich einen transparenten Proxy ein, der bei jeder unbekannten Adresse ein Redirect auf die Hauptseite macht.
 
RalfFriedl schrieb:
Diese ganzen Vorschläge zur Beschränkung von DNS bringen Dich nicht weiter, es gibt auch andere DNS Server. Installiere OpenWRT auf einen unterstützten Router, konfiguriere iptables so, dass als Ziel nur die drei Webseiten erreichbar sind. Konfiguriere außerdem einen DNS-Server auf dem Router, der die Adressen für die unterstützten Webseiten direkt ausliefert. Für unbekannte Namen soll er keine DNS-Auflösung machen, sondern eine feste Adresse zurück geben.
Zum Vergrößern anklicken....
Genau das kann man auch mit dnsspoof machen.
Beispiel für die hostsfile-Datei:
Code: 
<IP-Adresse-Webseite 1> <*Name-Website 1*>
<IP-Adresse-Webseite 2> <*Name-Website 2*>
<IP-Adresse-Webseite 3> <*Name-Website 3*>
<feste-IP-Adresse> [color=red]*[/color]
Testen kannst Du mit dig (oder gleichertig). Z. B.:
Code: 
dig <Name-Website 1> +short
Beispiel für alles was von * erfasst wird:
Code: 
:~$ dig heise.de +short
193.169.12.12
* erfasst Namen und IP-Adressen.

EDIT:

-ohne dnsspoof:
Code: 
:~$ dig heise.de +trace +stats | grep SERVER
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; SERVER: 193.0.14.129#53(193.0.14.129)
;; SERVER: 194.246.96.1#53(194.246.96.1)
;; SERVER: 212.19.48.14#53(212.19.48.14)
-mit dnsspoof:
Code: 
:~$ dig heise.de +trace +stats | grep SERVER
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; SERVER: 193.169.12.12#53(193.169.12.12)
The dnsspoof deamon will be running on the internal dns server in our example. The DNS server, bind for example, is listening on port 53. DnsSpoof does not listen on a port, but instead listens to the traffic coming in on the currently used bind port 53. If a query comes in that dnsspoof needs to respond to it intercepts the stream and responds to the LAN client with the answer by itself. Bind is never included in the conversation.
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
Ich habe ein paar Informationen erhalten:
was genau vorgefallen ist und wer es verursacht hat, ist nicht ganz klar.
Ich weiß nur ... unser PC stehe auf der homepage von hardcore Pornos.
Dann hatten wir ein Schreiben bekommen von einem Hamburger Anwalt, wir hätten eines Freitag nachts zwischen 2 und 3 Uhr illegal Spiele heruntergeladen und wir müßten jetzt 800 Euro bezahlen. Das hat unser Anwalt dann abgebogen. Klar war dann für den Vorstand, dass unser WLan nicht großzügig für alle zur Verfügung stehen kann und dass wir uns noch besser absichern müssen.
Zum Vergrößern anklicken....
Wenn ich eine Fläche von 20x30 m mit WLAN versorgen möchte und die Antenne in der Mitte der Seite mit 20 m plane, also Radius 30 m, welche Art von Antenne brauche ich dann?
Laut diesem Dokument eine Parabolantenne.
 
Zuletzt bearbeitet:
Für das WLAN kommt es darauf an, ob auf dieser Fläche auch Wände sind. Wenn es ein freier Raum ist, sollte die normale Antenne der Box reichen.
 
Moin

Parabolantennen (2 Stück) werden benötigt um über eine grössere Distanz eine Richtfunkstrecke aufzubauen.
Innerhalb des Richtstrahls hat man natürlich "bombigen" Empfang, eignet sich aber nur bedingt für das Ausleuchten einer Fläche.
Drum erstmal schaun ob die Originalhardware ausreicht.
 
Ich habe heute folgendes Gerät erhalten: TP-LINK TL-WR841ND v7.2 welches OpenWrt 12.09 unterstützt.
Jetzt habe ich mir mal die Original FW angeschaut und fand da auch ein paar Einstellungsmöglichkeiten (Parental Control, Access Control) welche Zielführend sein können.
Aber ich vermute dass man mit OpenWrt mehr erreichen kann.

Ich habe jetzt OpenWrt 12.09 installiert und schaue mal ob mir das alles gelingt.

Ich glaube die 4 MB Flash sind zu wenig.
Und das Paket dSniff kann ich nicht finden.
Das Programm dig wurde nicht gefunden.


Edit:
Ich habe jetzt folgende Interfaces:
LAN: eth0, 192.168.1.1/24, DHCP off
STAFF: eth0.1, 192.168.1.1/24, DHCP on
MEMBERS: eth0.2, 192.168.2.1/24, DHCP on
WAN: eth1, 192.168.123.1/24, DHCP ist Fritz!Box

Bei Switch habe ich folgendes konfiguriert:
VLAN ID 1: CPU untagged, Port 1 untagged, Port 2 untagged, Port 3 off, Port 4 off
VLAN ID 2: CPU off, Port 1 off, Port 2 off, Port 3 untagged, Port 4 untagged

Begründung: Nur VLAN ID 1, also ein Gerät an Port 1/2 darf auf das Web Interface/SSH zugreifen. VLAN ID 2, also ein Gerät an Port 3/4 ist isoliert


Weiter habe ich folgende Zone ⇒ Forwardings:
lan (grün) [lan][staff] ⇒ wan (rot) : Input reject, Output accept, Forward reject, Masquerading off, MSS clamping off
wan (rot) [wan] ⇒ reject : Input reject, Output reject, Forward reject, Masquerading on, MSS clamping on
restrict (orange) [members] ⇒ wan (rot) : Input reject, Output accept, Forward reject, Masquerading off, MSS clamping off

Problem: Ich habe keinen Zugriff auf das Internet. Aber Zugriff auf LuCI und Fritz!Box.

Gerne poste ich Configs falls das einfacher ist.
 
Zuletzt bearbeitet:
Ich habe den TP-Link TL-WR841ND nochmal auf die Werkseinstellungen zurückgesetzt.
Dann tinyproxy 1.8.2-5 und luci-app-tinyproxy 0.11.1-1 installiert.
tinyproxy ist in diesem Beispiel als transparent konfiguriert, es gibt keine Konfiguration beim Client.
Als Basis verwende ich das: http://wiki.openwrt.org/doc/howto/proxy.tinyproxy
Code: 
# 3. configure transparent proxy redirection:
uci add firewall redirect
uci set firewall.@redirect[0].name='Transparent Proxy Redirect 80'
uci set firewall.@redirect[0].src=lan
uci set firewall.@redirect[0].proto=tcp
uci set firewall.@redirect[0].dest_port=8888
uci set firewall.@redirect[0].src_dport=80
uci set firewall.@redirect[0].src_dip='!192.168.1.1'
uci set firewall.@redirect[0].dest_ip=192.168.1.1
uci set firewall.@redirect[1].name='Transparent Proxy Redirect 443'
uci set firewall.@redirect[1].src=lan
uci set firewall.@redirect[1].proto=tcp
uci set firewall.@redirect[1].dest_port=8888
uci set firewall.@redirect[1].src_dport=443
uci set firewall.@redirect[1].src_dip='!192.168.1.1'
uci set firewall.@redirect[1].dest_ip=192.168.1.1
uci commit firewall
/etc/init.d/firewall restart
Als Ergebnis bekomme ich bei https/443 immer folgenden Fehler in Firefox:
Code: 
ssl_error_rx_record_too_long
Nach etwas Suche fand ich diesen Thread: https://bbs.archlinux.org/viewtopic.php?id=108166
09:25 < muks> SanskritFritz: banu.com uses HTTPS
09:25 < muks> you can't filter HTTPS traffic by URL
09:25 < muks> as the session is end-to-end encrypted
09:35 < SanskritFritz> muks: thanks, but how is then possible to filter banu.com?
09:35 < SanskritFritz> so, i can only filter by domain?
09:36 < muks> yes
Zum Vergrößern anklicken....

Hier meine /tmp/etc/tinyproxy.conf
Code: 
### AUTOGENERATED CONFIGURATION
### DO NOT EDIT
### SEE /etc/config/tinyproxy INSTEAD

User nobody
Group nogroup
Port 8888
Timeout 600
DefaultErrorFile "/usr/share/tinyproxy/default.html"
StatHost "127.0.0.1"
StatFile "/usr/share/tinyproxy/stats.html"
LogFile "/var/log/tinyproxy.log"
SysLog Off
LogLevel Info
MaxClients 100
MinSpareServers 5
MaxSpareServers 20
StartServers 10
MaxRequestsPerChild 0
ViaProxyName "tinyproxy"
Filter "/lib/uci/upload/cbid.tinyproxy.cfg02822b.Filter"
FilterURLs Off
FilterExtended Off
FilterCaseSensitive Off
FilterDefaultDeny Yes

Frage: kann ich den Filter so konfigurieren, dass an LAN-Port 1,2 uneingeschränkter Zugriff und auf LAN-Port 3,4 + WLAN-Chip eingeschränkter Zugriff besteht?
Alternativ am gesamten LAN-Switch uneingeschränkter Zugriff und über WLAN-Chip eingeschränkter Zugriff?

Ich habe auch schon überlegt ein anderes Gerät mit mehr Flash (16, 32 oder 64 MB) zu kaufen.

Kann man die Programme dnsspoof, dSniff and dig über die Paketverwaltung und wenn nicht verfügbar über opkg/ipk installieren?
Sind diese in Tool-Sammlungen enthalten?

Danke
 
Zuletzt bearbeitet:
Hallo,
ich habe nun in der Firewall den Zugang beschränkt. Das funktioniert für das WLAN Interface prima:
Die zu erlaubenden IPs sind beispielhaft: aaa.bbb.ccc.ddd, eee.fff.ggg.hhh, iii.jjj.kkk.lll

Code: 
# /etc/config/firewall
config defaults
	option syn_flood '1'
	option input 'ACCEPT'
	option output 'ACCEPT'
	option forward 'REJECT'

config zone
	option name 'lan'
	option input 'ACCEPT'
	option output 'ACCEPT'
	option forward 'REJECT'
	option network 'lan'

config zone
	option name 'wan'
	option network 'wan'
	option input 'REJECT'
	option output 'ACCEPT'
	option forward 'REJECT'
	option masq '1'
	option mtu_fix '1'

config forwarding
	option src 'lan'
	option dest 'wan'

config rule
	option name 'Allow-DHCP-Renew'
	option src 'wan'
	option proto 'udp'
	option dest_port '68'
	option target 'ACCEPT'
	option family 'ipv4'

config rule
	option name 'Allow-Ping'
	option src 'wan'
	option proto 'icmp'
	option icmp_type 'echo-request'
	option family 'ipv4'
	option target 'ACCEPT'

config rule
	option name 'Allow-DHCPv6'
	option src 'wan'
	option proto 'udp'
	option src_ip 'fe80::/10'
	option src_port '547'
	option dest_ip 'fe80::/10'
	option dest_port '546'
	option family 'ipv6'
	option target 'ACCEPT'

config rule
	option name 'Allow-ICMPv6-Input'
	option src 'wan'
	option proto 'icmp'
	list icmp_type 'echo-request'
	list icmp_type 'echo-reply'
	list icmp_type 'destination-unreachable'
	list icmp_type 'packet-too-big'
	list icmp_type 'time-exceeded'
	list icmp_type 'bad-header'
	list icmp_type 'unknown-header-type'
	list icmp_type 'router-solicitation'
	list icmp_type 'neighbour-solicitation'
	list icmp_type 'router-advertisement'
	list icmp_type 'neighbour-advertisement'
	option limit '1000/sec'
	option family 'ipv6'
	option target 'ACCEPT'

config rule
	option name 'Allow-ICMPv6-Forward'
	option src 'wan'
	option dest '*'
	option proto 'icmp'
	list icmp_type 'echo-request'
	list icmp_type 'echo-reply'
	list icmp_type 'destination-unreachable'
	list icmp_type 'packet-too-big'
	list icmp_type 'time-exceeded'
	list icmp_type 'bad-header'
	list icmp_type 'unknown-header-type'
	option limit '1000/sec'
	option family 'ipv6'
	option target 'ACCEPT'

config include
	option path '/etc/firewall.user'

config zone
	option input 'ACCEPT'
	option forward 'REJECT'
	option output 'ACCEPT'
	option name 'restricted'
	option family 'ipv4'
	option network 'members'

config forwarding
	option dest 'wan'
	option src 'restricted'

config rule
	option src 'restricted'
	option dest 'wan'
	option dest_ip 'aaa.bbb.ccc.ddd'
	option dest_port '443'
	option proto 'tcp'
	option target 'ACCEPT'

config rule
	option src 'restricted'
	option dest 'wan'
	option dest_ip 'aaa.bbb.ccc.ddd'
	option dest_port '80'
	option proto 'tcp'
	option target 'ACCEPT'

config rule
	option src 'restricted'
	option dest 'wan'
	option dest_ip 'fff.ggg.hhh.iii'
	option dest_port '80'
	option proto 'tcp'
	option target 'ACCEPT'

config rule
	option src 'restricted'
	option dest 'wan'
	option dest_ip 'jjj.kkk.lll.mmm'
	option dest_port '80'
	option proto 'tcp'
	option target 'ACCEPT'

config rule
	option src 'restricted'
	option dest_port '22'
	option proto 'tcp'
	option target 'DROP'

config rule
	option src 'restricted'
	option dest 'wan'
	option proto 'icmp'
	option target 'DROP'

config rule
	option src 'restricted'
	option dest 'wan'
	option proto 'udp'
	option target 'DROP'

config rule
	option src 'restricted'
	option dest 'wan'
	option target 'DROP'
Code: 
# /etc/config/network
config interface 'loopback'
	option ifname 'lo'
	option proto 'static'
	option ipaddr '127.0.0.1'
	option netmask '255.0.0.0'

config interface 'lan'
	option ifname 'eth0'
	option type 'bridge'
	option proto 'static'
	option ipaddr '192.168.1.1'
	option netmask '255.255.255.0'

config interface 'wan'
	option ifname 'eth1'
	option proto 'dhcp'

config switch
	option name 'eth0'
	option reset '1'
	option enable_vlan '1'

config switch_vlan
	option device 'eth0'
	option vlan '1'
	option vid '1'
	option ports '0 1 2 3'

config interface 'members'
	option proto 'static'
	option ipaddr '192.168.3.1'
	option netmask '255.255.255.0'
	option gateway '192.168.3.1'
	option dns '192.168.3.1'
	option type 'bridge'
	option _orig_ifname 'radio0.network1'
	option _orig_bridge 'true'
	option ifname 'eth0.2'

config switch_vlan
	option device 'eth0'
	option vlan '2'
	option vid '2'
	option ports '4'
Ziel: Port 4 des Switch und WLAN darf nur auf die 3 IPs zugreifen.
Wenn ich einen PC mit Port 4 des Switch verbinde bekommt er keine IP 192.168.3.x und bei manueller Konfiguration auch keine Verbindung zu den 3 IPs.

Ist etwas an der Konfiguration falsch oder benötige ich dafür einen anderen hochwertigeren Router? Switchwort "openwrt split switch"
Gibt es welche die 4 dedizierte Ports haben?
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 703 (Mitglieder: 37, Gäste: 666)

Neueste Beiträge

Statistik des Forums

Themen
246,656
Beiträge
2,255,440
Mitglieder
374,602
Neuestes Mitglied
ge354067
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück