Internet auf den Suse-Router blokieren

[amiga1200]

Ich habe nun Squid installiert und konfiguriert, die Clients laufen nun über ein Proxi.
Jetzt soll über den Router keine Internet Seite mehr abzurufen sein, nur noch über den Proxi.

Was musst ich sperren, damit der Mailverkehr Pop/smtp/Imap weiterhin läuft, aber http nicht geht?

gebe ich ein:
iptables -D INPUT --dport 80 -j DROP
bekomme ich gleich:
unknown option "--dport" # ist das eine ist das eine veraltet Option?

Google liefert zwar viel, aber nichts was auf mich zutrifft!



System: Suse 12.2
iptables v1.4.16.3:
Masquerade Networks ist ON

[ddm3ve]

Nutz doch einfach eine geeignet "KOSTENFREIE" Firewalllösung.
*seufz*

[amiga1200]

Nutz doch einfach eine geeignet "KOSTENFREIE" Firewalllösung.

Du meinst unter Yast/Firewall ?

Wenn Du mir sagst, wie ich dort http sperren kann, mache ich mir sofort dran.

Ich suche schon Stundenüber Google, und viele schreiben, das man in die Suse-Firewall nicht weiter kommt.

ich habe es mit:
iptables -A INPUT -i dsl0 -p tcp --dport 80 -j DROP
versucht, wird ohne Fehler angenommen, aber blockiert nichts!
Auch dsl0 durch eth0 oder eth1 zu ersetzen bring nichts.

Nur Masquerade abschalten bring was, dann sperre ich aber auch den Mailverkehr!

[ddm3ve]

Nein ich meine, dass Du für Dein Vorhaben eine firewalllösung wie z.B. Endian, ipcop oder dereitigem bemühst.

[Joe User]

Das sollte Dir etwas weiter helfen: http://www.thegeekstuff.com/2011/03/ipt ... und-rules/

[amiga1200]

Endian und ipcop lesen sich bei Wiki ja gut,

ich habe mir aber nun soweit bei Squid eingearbeitet, das wir nun erst mal damit arbeiten.

Den Router Sperre ich für Webzugriffe mit:
iptables -I FORWARD -p tcp --dport 80 -j REJECT
was man mit ACCEPT statt REJECT wieder aufheben kann.

So das man nur noch über Squid ins Inetz kann.
Ich suche nur noch eine Möglichkeit, das man darüber nur bestimmte IP sperren kann
vielleicht kennt sich hier jemand besser aus als ich.

[ddm3ve]

Endian setzt auf Squid auf, weshalb Du Dein Squid Know how durchaus einsetzen kannst.
Ansonsten solltest Du mit tieferem Squid Know how, sofern es ausreichend vorhanden ist, wissen wie man die ACLs definiert und einstellt.
Howtos: http://wiki.squid-cache.org/SquidFaq/SquidAcl

Deine Frage nach zu urteilen, bietet gerade Endian genau das, was Du als Administrationsoberfläche brauchst.

[amiga1200]

Squid Know how, sofern es ausreichend vorhanden ist, wissen wie man die ACLs definiert

ich suche eine Möglichkeit für mich als Admin ohne Squid ins Inet zu kommen,

also
iptables -I FORWARD -p tcp --dport 80 -j REJECT # router Sperren
alle ip außer 192.168...

Squid wird bestimmt gut Caches, was als Web-Entwickler tödlich ist

[ddm3ve]

Auch das kann man mit der Endian Firewall wunderbar einstellen.
Ebenfalls lässt Squid es zu, ACLs so zu definieren, dass es auch ausnahmen gibt, die eben nicht gecacht werden direkt ins Internet gelangen ggf. mit oder ohne cache oder gar am Squid vorbei.

Ein vernünftiges Firewallsystem kann genau das verlässlich realisieren, was Du verzweifelst auf der Console versuchst hin zu biegen.

[amiga1200]

für Google Sucher:

Sperrt Port 80 für 1 IP
iptables -I FORWARD -p tcp -s 192.168.x --dport 80 -j REJECT

wieder freigeben:
iptables -I FORWARD -p tcp -s 192.168.x --dport 80 -j ACCEPT

ohne:
s 192.168.x

für alle IP

[ddm3ve]

Mach das mal, und führe danach iptables -L aus.
Noch besser sperre und entsperre mehrmals, fürhe dann wieder iptables -L -n aus.

Dann verstehst Du, warum ich Dir eingehen zu einer richtigen Firewall rate!

Du solltest Dir Deine Regeln irgendwo merken z.B. in einem Script und diese explizit setzen.
Wenn Du was änderst, die Firewall flusdhen itpables -F und Deine Regeln neu setzen!

Alles adere ist Murks, PFUSCH oder einfach nur SCHEISSE.

Sorry dass ich es jetzt mal so drastisch formuliere muss aber anders scheinst es Du nicht zu begreifen, dass das so nichts wird!

[ddm3ve]

für Google Sucher:

Btw. und Da du das ja als die Ultimative Lösung verkaufst muss ich dann doch mal anmerken, warum Dein vorgehen und dürftige Erklärung quark ist!

1. Nach einem Reboot des Systems sind die iptables Einstellungen weg, sofern Du das nicht sauber nach lädst.
-> Starte also das System neimals neu
2. Wenn Du Änderungen "so wie Du es kurz skizziert hast, durchführst, müllst Du den iptables komplett voll, wobei dann ein zunehmener Anteil der Regeln im krassen Wiederspruch sind quasi der zunehmende Anteil ein absurdum darstellt.
Daher entweder die jeweilige Regel explizit löschen / Ändern oder eben den Roleout wie viele andere komplett mit einer sauberen Basis ab "-F " anstarten.

Das was Du offensichtlich machst, basiert auf einem profunden Halbwissen und max. Ignoranz gegenüber einen geeigneten Lösungsweg.
An einem der beiden musst Du arbeiten, wenn es zuverlässig funktionieren soll.