Internet auf den Suse-Router blokieren

Serverdienste ohne eigene Kategorie
amiga1200
Posts: 210
Joined: 2007-01-13 19:58

Internet auf den Suse-Router blokieren

Post by amiga1200 »

Ich habe nun Squid installiert und konfiguriert, die Clients laufen nun über ein Proxi.
Jetzt soll über den Router keine Internet Seite mehr abzurufen sein, nur noch über den Proxi.

Was musst ich sperren, damit der Mailverkehr Pop/smtp/Imap weiterhin läuft, aber http nicht geht?

gebe ich ein:
iptables -D INPUT --dport 80 -j DROP
bekomme ich gleich:
unknown option "--dport" # ist das eine ist das eine veraltet Option?

Google liefert zwar viel, aber nichts was auf mich zutrifft!



System: Suse 12.2
iptables v1.4.16.3:
Masquerade Networks ist ON

ddm3ve
Moderator
Moderator
Posts: 1182
Joined: 2011-07-04 10:56

Re: Internet auf den Suse-Router blokieren

Post by ddm3ve »

Nutz doch einfach eine geeignet "KOSTENFREIE" Firewalllösung.
*seufz*
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.

amiga1200
Posts: 210
Joined: 2007-01-13 19:58

Re: Internet auf den Suse-Router blokieren

Post by amiga1200 »

Nutz doch einfach eine geeignet "KOSTENFREIE" Firewalllösung.
Du meinst unter Yast/Firewall ?

Wenn Du mir sagst, wie ich dort http sperren kann, mache ich mir sofort dran.

Ich suche schon Stundenüber Google, und viele schreiben, das man in die Suse-Firewall nicht weiter kommt.

ich habe es mit:
iptables -A INPUT -i dsl0 -p tcp --dport 80 -j DROP
versucht, wird ohne Fehler angenommen, aber blockiert nichts!
Auch dsl0 durch eth0 oder eth1 zu ersetzen bring nichts.

Nur Masquerade abschalten bring was, dann sperre ich aber auch den Mailverkehr!
Last edited by amiga1200 on 2013-03-07 14:08, edited 1 time in total.

ddm3ve
Moderator
Moderator
Posts: 1182
Joined: 2011-07-04 10:56

Re: Internet auf den Suse-Router blokieren

Post by ddm3ve »

Nein ich meine, dass Du für Dein Vorhaben eine firewalllösung wie z.B. Endian, ipcop oder dereitigem bemühst.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11137
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Internet auf den Suse-Router blokieren

Post by Joe User »

Das sollte Dir etwas weiter helfen: http://www.thegeekstuff.com/2011/03/ipt ... und-rules/
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

amiga1200
Posts: 210
Joined: 2007-01-13 19:58

Re: Internet auf den Suse-Router blokieren

Post by amiga1200 »

Endian und ipcop lesen sich bei Wiki ja gut,

ich habe mir aber nun soweit bei Squid eingearbeitet, das wir nun erst mal damit arbeiten.

Den Router Sperre ich für Webzugriffe mit:
iptables -I FORWARD -p tcp --dport 80 -j REJECT
was man mit ACCEPT statt REJECT wieder aufheben kann.

So das man nur noch über Squid ins Inetz kann.
Ich suche nur noch eine Möglichkeit, das man darüber nur bestimmte IP sperren kann
vielleicht kennt sich hier jemand besser aus als ich.

ddm3ve
Moderator
Moderator
Posts: 1182
Joined: 2011-07-04 10:56

Re: Internet auf den Suse-Router blokieren

Post by ddm3ve »

Endian setzt auf Squid auf, weshalb Du Dein Squid Know how durchaus einsetzen kannst.
Ansonsten solltest Du mit tieferem Squid Know how, sofern es ausreichend vorhanden ist, wissen wie man die ACLs definiert und einstellt.
Howtos: http://wiki.squid-cache.org/SquidFaq/SquidAcl

Deine Frage nach zu urteilen, bietet gerade Endian genau das, was Du als Administrationsoberfläche brauchst.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.

amiga1200
Posts: 210
Joined: 2007-01-13 19:58

Re: Internet auf den Suse-Router blokieren

Post by amiga1200 »

Squid Know how, sofern es ausreichend vorhanden ist, wissen wie man die ACLs definiert
ich suche eine Möglichkeit für mich als Admin ohne Squid ins Inet zu kommen,

also
iptables -I FORWARD -p tcp --dport 80 -j REJECT # router Sperren
alle ip außer 192.168...

Squid wird bestimmt gut Caches, was als Web-Entwickler tödlich ist

ddm3ve
Moderator
Moderator
Posts: 1182
Joined: 2011-07-04 10:56

Re: Internet auf den Suse-Router blokieren

Post by ddm3ve »

Auch das kann man mit der Endian Firewall wunderbar einstellen.
Ebenfalls lässt Squid es zu, ACLs so zu definieren, dass es auch ausnahmen gibt, die eben nicht gecacht werden direkt ins Internet gelangen ggf. mit oder ohne cache oder gar am Squid vorbei.

Ein vernünftiges Firewallsystem kann genau das verlässlich realisieren, was Du verzweifelst auf der Console versuchst hin zu biegen.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.

amiga1200
Posts: 210
Joined: 2007-01-13 19:58

Re: Internet auf den Suse-Router blokieren

Post by amiga1200 »

für Google Sucher:

Sperrt Port 80 für 1 IP
iptables -I FORWARD -p tcp -s 192.168.x --dport 80 -j REJECT

wieder freigeben:
iptables -I FORWARD -p tcp -s 192.168.x --dport 80 -j ACCEPT

ohne:
s 192.168.x

für alle IP

ddm3ve
Moderator
Moderator
Posts: 1182
Joined: 2011-07-04 10:56

Re: Internet auf den Suse-Router blokieren

Post by ddm3ve »

Mach das mal, und führe danach iptables -L aus.
Noch besser sperre und entsperre mehrmals, fürhe dann wieder iptables -L -n aus.

Dann verstehst Du, warum ich Dir eingehen zu einer richtigen Firewall rate!

Du solltest Dir Deine Regeln irgendwo merken z.B. in einem Script und diese explizit setzen.
Wenn Du was änderst, die Firewall flusdhen itpables -F und Deine Regeln neu setzen!

Alles adere ist Murks, PFUSCH oder einfach nur SCHEISSE.

Sorry dass ich es jetzt mal so drastisch formuliere muss aber anders scheinst es Du nicht zu begreifen, dass das so nichts wird!
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.

ddm3ve
Moderator
Moderator
Posts: 1182
Joined: 2011-07-04 10:56

Re: Internet auf den Suse-Router blokieren

Post by ddm3ve »

amiga1200 wrote:für Google Sucher:
Btw. und Da du das ja als die Ultimative Lösung verkaufst muss ich dann doch mal anmerken, warum Dein vorgehen und dürftige Erklärung quark ist!

1. Nach einem Reboot des Systems sind die iptables Einstellungen weg, sofern Du das nicht sauber nach lädst.
-> Starte also das System neimals neu
2. Wenn Du Änderungen "so wie Du es kurz skizziert hast, durchführst, müllst Du den iptables komplett voll, wobei dann ein zunehmener Anteil der Regeln im krassen Wiederspruch sind quasi der zunehmende Anteil ein absurdum darstellt.
Daher entweder die jeweilige Regel explizit löschen / Ändern oder eben den Roleout wie viele andere komplett mit einer sauberen Basis ab "-F " anstarten.

Das was Du offensichtlich machst, basiert auf einem profunden Halbwissen und max. Ignoranz gegenüber einen geeigneten Lösungsweg.
An einem der beiden musst Du arbeiten, wenn es zuverlässig funktionieren soll.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.