Toon posts:

[debian][iptables] forwarden van één ip stoppen

Pagina: 1
Acties:

donderdag 17 februari 2005 11:10

Acties:

Verwijderd

Topicstarter
Ik gebruik sinds lange tijd het iptables script van openvpn. Sinds enige tijd zit mijn broertje zoveel achter internet (spelletjes) dat mijn ouders er knettergek van worden en het modem uitdrukken, dan kan ik dus geen e-mail ontvangen en mijn webserver doet het dan ook niet meer.

Mij idee is om een heel eenvoudig php scriptje te maken waarin mijn ouders per computer aan kunnen vinken of die internet mag hebben. Helaas weet ik zelf niet welke regel er voor mijn iptables script nodig is.

Mijn script is hier te vinden: http://www.huize-wel.nl/~kick/tweakers/iptables (als de modem niet uitgedrukt wordt).

Een korte weergave van de regels waar het omgaat is
code:
1
2
3
4

PRIVATE=192.168.0.0/24
iptables -t nat -A POSTROUTING -s $PRIVATE -o eth0 -j MASQUERADE
iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -j MASQUERADE
iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE


De regel die ik probeerde wekte niet:
code:
1

iptables -D POSTROUTING -t nat -s 192.168.0.4 -j MASQUERADE

donderdag 17 februari 2005 12:21

Acties:
  • Sjonny
  • Registratie: Maart 2001
  • Laatst online: 13-02 22:57

Sjonny

Fratser

als het goed is heb je ook een regel als in:
code:
1

iptables -A FORWARD -i eth1 -d 192.168.0.0/24 -j ACCEPT -m state --state ESTABLISHED,RELATED

(linkje doet het nu niet, dus ik copy/paste maar van mijn firewall..)

Als je die per ip insteld, krijg je het gewenste effect. Dus die 192.168.0.0/24 maak je dan 192.168.0.3/32. dan mag 192.168.0.3 internetten.

The problem is in the part of your brain that handles intelligence.

donderdag 17 februari 2005 14:47

Acties:
  • Rac-On
  • Registratie: November 2003
  • Niet online

Rac-On

stukje uit mijn eigen script:
code:
1

iptables -A INPUT -p udp  --dport 137 -d 84.119.xxx.xxx  -j DROP


in dit geval dropt hij dus alles wat naar UDP port 137 op ip XXX gaat. In jouw geval bijvoorbeeld:

code:
1

iptables -A INPUT -p all -s <het ip van je broertje> -j DROP


wat betekent: ieder pakket vanaf het ip van je broertje wordt gedropt (niet doorgestuurd oid).

[ Voor 49% gewijzigd door Rac-On op 17-02-2005 14:50 . Reden: toevoeging + typo ]

doet niet aan icons, usertitels of signatures

donderdag 17 februari 2005 15:46

Acties:
  • eth0
  • Registratie: Mei 2002
  • Laatst online: 15-09-2025

eth0

Uhm, dat is alleen op de INPUT chain van de router, je wilt dit dus doen in de FORWARD chain? Anders kan hij nog gewoon interneten.

code:
1

iptables -A FORWARD -p all -s <het ip van je broertje> -j DROP


Nu drop je alle FORWARD pakketen naar en van internet.

[ Voor 17% gewijzigd door eth0 op 17-02-2005 15:49 ]

donderdag 17 februari 2005 16:09

Acties:
  • Rac-On
  • Registratie: November 2003
  • Niet online

Rac-On

eth0 schreef op donderdag 17 februari 2005 @ 15:46:
Uhm, dat is alleen op de INPUT chain van de router, je wilt dit dus doen in de FORWARD chain? Anders kan hij nog gewoon interneten.

code:
1

iptables -A FORWARD -p all -s <het ip van je broertje> -j DROP


Nu drop je alle FORWARD pakketen naar en van internet.
je hebt helemaal gelijk, ik zat niet helemaal op te letten. -A FORWARD moet het inderdaad zijn.

doet niet aan icons, usertitels of signatures

donderdag 17 februari 2005 17:28

Acties:
  • Buffy
  • Registratie: April 2002
  • Laatst online: 26-12-2024

Buffy

Fire bad, Tree pretty

PS: filteren op ip is makkelijk te omzeilen. Je boertje hoeft alleen maar het ip adres van zijn computer te veranderen.
Je kan beter alles blokken en dan alleen je webserver en email verkeer door laten.

That which doesn't kill us, makes us stranger - Trevor (AEon FLux)
When a finger points at the moon, the imbecile looks at the finger (Chinese Proverb)

donderdag 17 februari 2005 18:11

Acties:

Verwijderd

Topicstarter
Ik denk niet dat hij er snel achterkomt dat hij alleen zijn ip hoeft te veranderen, ik heb de regels helaas nog niet kunnen testen want er zijn nu wat andere problemen met mijn server :P.

donderdag 17 februari 2005 18:35

Acties:
  • eth0
  • Registratie: Mei 2002
  • Laatst online: 15-09-2025

eth0

Of op zijn mac address :p tenzij hij weet hoe hij zijn mac kan veranderen?

donderdag 17 februari 2005 18:52

Acties:
  • pierre-oord
  • Registratie: April 2002
  • Laatst online: 15-01 10:55

pierre-oord

De beste manier is inderdaad gewoon zeggen dat alle IP's worden geblokkeerd, en alleen IP's instellen waar verkeer naartoe mag. Dat is in een thuis situatie niet zo lastig, en in principe kan een PC nooit een IP gebruiken wat al in gebruik is (1 van de 2 wint dan, bij mij wint linux altijd, of dat is gewoon toeval?)

Ondernemer in tech (oud LOQED.com, nu UpToMore.com)

vrijdag 18 februari 2005 18:03

Acties:

Verwijderd

Topicstarter
Ok, heel erg bedankt voor alle reakties, mijn linux-server doet het weer :) . Ik vind het wel jammer dat alles open en bepaalde poorten dichtgooien niet werkt. Maar dan ga ik het op deze manier proberen.

zondag 20 februari 2005 18:32

Acties:

Verwijderd

Topicstarter
Het scriptje om per ip via internet, internet uit of aan te zetten is gelukt. De phpcode zal wel slecht geschreven zijn, maar veel beter kan ik dat niet. Voor personen die ditzelfde probleem hebben kunnen het scriptje downloaden vanaf de volgende site:
http://home.planet.nl/~wel00042/firewall.tar.gz
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq