Avatar billede blim Nybegynder
28. oktober 2005 - 21:15 Der er 22 kommentarer og
3 løsninger

Filtrere pc'ere fra som ikke må køre på delt forbindelse

Hej alle,
Nu er jeg HELT desperat! Har brugt 2 uger nu næsten hver aften på at finde en eller anden form for filter hvori jeg kan filtrere enten IP-adresser eller MAC filtre eller bare et eller andet så det kun er bestemte maskiner på netværket der må benytte min delte forbindelse! Har også spurgt en gang herinde men fik desværre ikke meget ud af det :(

mit netværk er sat op sådan her:
ADSL <-> Router/Gateway(server) <-> LAN maskiner

Men da jeg bor på et kollegie vil jeg kun have at 2 af mine venner skal kunne bruge min private ADSL forbindelse.

håber virkelig en af jer kloge hoveder har svaret... :)
ellers er det tilbage til Win2003 og det har jeg ik lyst til, gør det kun hvis alt andet fejler!

på forhånd mange tak
Avatar billede serverservice Praktikant
29. oktober 2005 - 14:10 #1
Jeg er ikke linux mand , men har alligevel et forslag som du måske kan bruge.

Kan du ikke opsætte din dhcp med 3 stk. statiske ipér til dine klienter - går udfra at du skal bruge 3 ialt - og så lade klienterne blive konfigureret manuelt.
Evt et scope med kun 3 ipadresser?

Hvis du har brug for en linuxløsning kan jeg devsærre ikke hjælpe...
Avatar billede lassebm Nybegynder
29. oktober 2005 - 21:26 #2
Du kan som standard nægte at alle forwarded pakker skal droppes i din iptables script.

Derefter kan du tillade besteme ipadresser at passere..
Avatar billede lassebm Nybegynder
29. oktober 2005 - 21:31 #3
Jeg har ikke testet, men burde være sådan.

iptables -A FORWARD -s xxx.xxx.xxx -j ACCEPT

xxx.... er ip adressen på den maskine der skal forwardes..
Avatar billede blim Nybegynder
30. oktober 2005 - 05:43 #4
Dannyboyd> Dit forslag er sådan set god nok, mit problem er så bare: Hvordan?!

Zyphon> Jeg har fundet ud af hvordan jeg accepter noget, spørgsmålet er bare, hvordan nægter jeg alt andet? :) Altså jeg kender godt til den du har skrevet der, men det sørger bare for at den bestemte IP adresse eller MAC adresse bliver accepteret, men hvordan gør jeg så alt andet bliver DENY ? ;)
Avatar billede serverservice Praktikant
30. oktober 2005 - 08:12 #5
Jeg har som sagt ikke en linux server kørende så kan desværre ikke guide dig med selve opsætningen, men det er der helt sikkert andre der kan - så lad det bare stå indtil en specialist melder sig ....
Avatar billede lassebm Nybegynder
30. oktober 2005 - 14:38 #6
Du laver en regel som sætter det tidligere i scriptet !

IPTABLES -P FORWARD DENY

Denne kan evt, hjælpe dig hvor du så bagefter skal tilrette filen lidt
http://iptables-script.dk/
Avatar billede langbein Nybegynder
30. oktober 2005 - 21:29 #7
Utestet, men kan forsøkes:

#!/bin/sh

# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# WAN_NIC='eth0'
# LAN_NIC='eth1'
# LAN_CARD_IP='10.0.0.1/24'

# Load some kernel modules
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Flush
iptables -t nat -F
iptables -F
iptables -X
iptables -Z

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Enable Masquerade and statefull inspection all forwarding
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth1 -s 10.0.0.11 -j ACCEPT
iptables -A FORWARD -i eth1 -s 10.0.0.12 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# STATE RELATED for local processes on firewall machine
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Her er det eth0 som vender ut mot internett.
10.0.0.11 og 12 er de to lokale ip som slipper ut. (forhåpentligvis).

MVH Langbein.
Avatar billede langbein Nybegynder
30. oktober 2005 - 21:36 #8
Ser forresten at den også vil låse ute remote ssh tilgang slik at du må ha console (eller Gnome/KDE) tilgang til serveren. Hvis du skulle hatt mulighet for remote ssh tilgang, så legg et par ord.
Avatar billede blim Nybegynder
30. oktober 2005 - 22:15 #9
wow, det ser supergodt ud! :) tak folkens...

lige et sidste spørgsmål, hvor skal dette script lægges hen? (altså fil)
Avatar billede blim Nybegynder
30. oktober 2005 - 22:17 #10
i øvrigt... når jeg skriver iptables -p forward deny skriver den "iptables v1.3.3: unknown protocol `forward' specified" :(
Avatar billede langbein Nybegynder
30. oktober 2005 - 22:32 #11
Det var da litt merkelig. Er du logget inn som root ? (Det må man være.)

For å finne ut om iptables kjører så kan du teste med: "iptables -L -v"

Dette skal gi status for firewall.

Ellers så bygger man hele filen opp som en textfil ved hjelp av en editor.

Så eksekverer men slik: "bash <filnavn>" (Ikke en kommando ad gangen.)

Hvis tingene kommer helt ut å kjøre så kan man bare reboote maskinen. Da er alle endringene borte.
Avatar billede langbein Nybegynder
30. oktober 2005 - 22:36 #12
Lenge siden jeg testet Mandrake, men for nyere RedHat så kan man vel kjøre:

"service iptables start" og "service iptables stop"

For å starte / stoppe firewall funksjonen.

Du får kjøre et par tester og så melde fra om hva den sier.
Avatar billede langbein Nybegynder
30. oktober 2005 - 22:39 #13
For RedHat enterprice server 3 så skal man visst kunne gjøre endringene permanente slik (etter at man har sjekket at det fungerer slik som man ønsker)

/sbin/service iptables save

Mon dette også fungerer hos Mandrake. (Men dette er jo litt rissikobetont, for når man har savet endringene da er de permanente og da forsvinner de ikke ved reboot.)
Avatar billede lassebm Nybegynder
30. oktober 2005 - 22:45 #14
Der er forskel på store og små bogstaver!

iptables -p forward og iptables -P FORWARD er ikke det samme !
Avatar billede langbein Nybegynder
31. oktober 2005 - 06:10 #15
Det stemmer. "iptables -L -v" fungerer. Med kun store bokstaver så fungerer det ikke. Windows er like glad med store og små bokstaver. Det er Linux ikke. Hos Linux så er Fil, fil og fiL faktisk tre forskjellige filer.
Avatar billede blim Nybegynder
31. oktober 2005 - 09:08 #16
Jeg ved at Linux er case sensitive... og iptables -L -v fungerer også fint, men iptables -P FORWARD DENY virker ikke. Jeg har forsøgt med at skrive med lille på forward, og faktisk er det ligemeget om jeg skriver DENY eller om jeg skriver SAFTEVAND :) den siger stadig "iptables v1.3.3: unknown protocol `forward' specified"

jeg forsøger lidt senere med de ting langbein skrev og skriver tilbage ;) men tak for hjælpen so far...
Avatar billede lassebm Nybegynder
31. oktober 2005 - 10:17 #17
Prøv at bruge DROP istedet for DENY
Avatar billede blim Nybegynder
31. oktober 2005 - 12:06 #18
Jeg har forsøgt med DROP også... det er som om den er ligeglad hvad jeg skriver efter jeg skriver forward! Jeg forsøger lige de ting langbeins skrev tidligere og vender tilbage ;)
Avatar billede blim Nybegynder
31. oktober 2005 - 12:07 #19
forresten, jeg fandt aldrig ud af hvor jeg skulle skrive det henne som langbein skrev tidligere... i hvilken fil er det? :D
Avatar billede lassebm Nybegynder
31. oktober 2005 - 12:13 #20
du opretter en ny fil, og skriver det ind der.
feks.
mitSuperFirewalLScript.sh  (måske noget mere sigende vel vare mere passende) ;)

Derefter skal du lige lave chmod 700 så det kun er root der har adgang til at eksekvere filen.

Hm. Er du sikker på du er logget ind som root på maskinen ?

det virker mærkeligt hvis "iptables -P FORWARD DROP" ikke virker !
Avatar billede blim Nybegynder
31. oktober 2005 - 15:11 #21
Altså jeg er lidt ny til Linux, så jeg forstår ikke rigtig hvad du mener. Ved ik om det er sådan i linux men er det ligemeget hvor jeg opretter filen så længe den hedder .sh?
Avatar billede lassebm Nybegynder
31. oktober 2005 - 15:27 #22
i grove træk ja.

derefter kan du nemlig eksekvere filen med sh <filnavn>
Avatar billede langbein Nybegynder
01. november 2005 - 00:43 #23
Det er bare i Windows at file extensions har noen betydning. I Linux kan den godt hete fil.olsen eller olsen.fil eller olsensinfil. Eksekveres "bash olsensinfil" eller "sh olsensinfil"
Avatar billede blim Nybegynder
22. november 2005 - 21:10 #24
Langbein jeg har brugt dit script der, med små modifikationer, det virker helt perfekt nu :)

bare send et svar så får i begge point :)
Avatar billede langbein Nybegynder
22. november 2005 - 22:50 #25
OK :-)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester