Filtrere pc'ere fra som ikke må køre på delt forbindelse

Jeg er ikke linux mand , men har alligevel et forslag som du måske kan bruge.

Kan du ikke opsætte din dhcp med 3 stk. statiske ipér til dine klienter - går udfra at du skal bruge 3 ialt - og så lade klienterne blive konfigureret manuelt.
Evt et scope med kun 3 ipadresser?

Hvis du har brug for en linuxløsning kan jeg devsærre ikke hjælpe...

Du kan som standard nægte at alle forwarded pakker skal droppes i din iptables script.

Derefter kan du tillade besteme ipadresser at passere..

Jeg har ikke testet, men burde være sådan.

iptables -A FORWARD -s xxx.xxx.xxx -j ACCEPT

xxx.... er ip adressen på den maskine der skal forwardes..

Dannyboyd> Dit forslag er sådan set god nok, mit problem er så bare: Hvordan?!

Zyphon> Jeg har fundet ud af hvordan jeg accepter noget, spørgsmålet er bare, hvordan nægter jeg alt andet? :) Altså jeg kender godt til den du har skrevet der, men det sørger bare for at den bestemte IP adresse eller MAC adresse bliver accepteret, men hvordan gør jeg så alt andet bliver DENY ? ;)

Jeg har som sagt ikke en linux server kørende så kan desværre ikke guide dig med selve opsætningen, men det er der helt sikkert andre der kan - så lad det bare stå indtil en specialist melder sig ....

Du laver en regel som sætter det tidligere i scriptet !

IPTABLES -P FORWARD DENY

Denne kan evt, hjælpe dig hvor du så bagefter skal tilrette filen lidt
http://iptables-script.dk/

Utestet, men kan forsøkes:

#!/bin/sh

# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# WAN_NIC='eth0'
# LAN_NIC='eth1'
# LAN_CARD_IP='10.0.0.1/24'

# Load some kernel modules
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Flush
iptables -t nat -F
iptables -F
iptables -X
iptables -Z

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Enable Masquerade and statefull inspection all forwarding
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth1 -s 10.0.0.11 -j ACCEPT
iptables -A FORWARD -i eth1 -s 10.0.0.12 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# STATE RELATED for local processes on firewall machine
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Her er det eth0 som vender ut mot internett.
10.0.0.11 og 12 er de to lokale ip som slipper ut. (forhåpentligvis).

MVH Langbein.

Ser forresten at den også vil låse ute remote ssh tilgang slik at du må ha console (eller Gnome/KDE) tilgang til serveren. Hvis du skulle hatt mulighet for remote ssh tilgang, så legg et par ord.

wow, det ser supergodt ud! :) tak folkens...

lige et sidste spørgsmål, hvor skal dette script lægges hen? (altså fil)

i øvrigt... når jeg skriver iptables -p forward deny skriver den "iptables v1.3.3: unknown protocol `forward' specified" :(

Det var da litt merkelig. Er du logget inn som root ? (Det må man være.)

For å finne ut om iptables kjører så kan du teste med: "iptables -L -v"

Dette skal gi status for firewall.

Ellers så bygger man hele filen opp som en textfil ved hjelp av en editor.

Så eksekverer men slik: "bash <filnavn>" (Ikke en kommando ad gangen.)

Hvis tingene kommer helt ut å kjøre så kan man bare reboote maskinen. Da er alle endringene borte.

Lenge siden jeg testet Mandrake, men for nyere RedHat så kan man vel kjøre:

"service iptables start" og "service iptables stop"

For å starte / stoppe firewall funksjonen.

Du får kjøre et par tester og så melde fra om hva den sier.

For RedHat enterprice server 3 så skal man visst kunne gjøre endringene permanente slik (etter at man har sjekket at det fungerer slik som man ønsker)

/sbin/service iptables save

Mon dette også fungerer hos Mandrake. (Men dette er jo litt rissikobetont, for når man har savet endringene da er de permanente og da forsvinner de ikke ved reboot.)

Der er forskel på store og små bogstaver!

iptables -p forward og iptables -P FORWARD er ikke det samme !

Det stemmer. "iptables -L -v" fungerer. Med kun store bokstaver så fungerer det ikke. Windows er like glad med store og små bokstaver. Det er Linux ikke. Hos Linux så er Fil, fil og fiL faktisk tre forskjellige filer.

Jeg ved at Linux er case sensitive... og iptables -L -v fungerer også fint, men iptables -P FORWARD DENY virker ikke. Jeg har forsøgt med at skrive med lille på forward, og faktisk er det ligemeget om jeg skriver DENY eller om jeg skriver SAFTEVAND :) den siger stadig "iptables v1.3.3: unknown protocol `forward' specified"

jeg forsøger lidt senere med de ting langbein skrev og skriver tilbage ;) men tak for hjælpen so far...

Prøv at bruge DROP istedet for DENY

Jeg har forsøgt med DROP også... det er som om den er ligeglad hvad jeg skriver efter jeg skriver forward! Jeg forsøger lige de ting langbeins skrev tidligere og vender tilbage ;)

forresten, jeg fandt aldrig ud af hvor jeg skulle skrive det henne som langbein skrev tidligere... i hvilken fil er det? :D

du opretter en ny fil, og skriver det ind der.
feks.
mitSuperFirewalLScript.sh  (måske noget mere sigende vel vare mere passende) ;)

Derefter skal du lige lave chmod 700 så det kun er root der har adgang til at eksekvere filen.

Hm. Er du sikker på du er logget ind som root på maskinen ?

det virker mærkeligt hvis "iptables -P FORWARD DROP" ikke virker !

Altså jeg er lidt ny til Linux, så jeg forstår ikke rigtig hvad du mener. Ved ik om det er sådan i linux men er det ligemeget hvor jeg opretter filen så længe den hedder .sh?

i grove træk ja.

derefter kan du nemlig eksekvere filen med sh <filnavn>

Det er bare i Windows at file extensions har noen betydning. I Linux kan den godt hete fil.olsen eller olsen.fil eller olsensinfil. Eksekveres "bash olsensinfil" eller "sh olsensinfil"

Langbein jeg har brugt dit script der, med små modifikationer, det virker helt perfekt nu :)

bare send et svar så får i begge point :)

OK :-)