Toon posts:

User van internet afsluiten

Pagina: 1
Acties:

dinsdag 5 februari 2002 10:00

Acties:
  • 0 Henk 'm!

Anoniem: 27376

Topicstarter
Hey mensen,

Wij hebben hier een mdk8.1 server, die voor de inet-sharing zorgt, en teves fileserver is (vooral voor muziek)

Alle clients krijgen via DHCP een ip toegewezen (aan de hand van ieders MAC-adress krijgt iedereen WEL een vast ip), en verder wordt er (uiteraart) gebruik gemaakt van iptables voor de routing van het internet (ik gebruik een standaart scriptje dat mdk automatisch maakt als je inetscharing aanzet).

Nou zijn er 2 mensen die nogal hartnekking zijn in het niet betalen van hun rekening, en dus wil ik die users afsluiten. Compleet afsluiten, dus geen internet, en ook geen muziek (e.d.)!

Helemaal stoer zou zijn als ze een winpopje krijgen met de mededeling dat ze afgeloten zijn, maar dat hoeft zeker niet..

Hoe pak ik dit het best (lees: gemakkelijkst voor mij)

dinsdag 5 februari 2002 10:02

Acties:
  • 0 Henk 'm!
  • Janoz
  • Registratie: Oktober 2000
  • Laatst online: 13:20

Janoz

Moderator Devschuur®

!litemod

1 - trek hun netwerkkabel eruit.
2 - zorg dat ze geen ip krijgen.
3 - blokkeer hun ipadressen.

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

dinsdag 5 februari 2002 10:10

Acties:
  • 0 Henk 'm!

Anoniem: 27376

Topicstarter
opties 2 en 3 spreken me wel aan... kun je iets meer uitleg geven over hoe ik dat aanpak?

dinsdag 5 februari 2002 10:22

Acties:
  • 0 Henk 'm!
  • xychix
  • Registratie: September 2000
  • Laatst online: 21-01 16:09

xychix

FreeBSD Rules !

de 1e is het makkelijkst !

Every failure offers you a new opportunity! | Lokatie database|GoT - Notepad

dinsdag 5 februari 2002 10:24

Acties:
  • 0 Henk 'm!

Anoniem: 27376

Topicstarter
inderdeed, maar dat kunnen ze zelf oplossen, en dat was nou niet de bedoeling!

dinsdag 5 februari 2002 10:29

Acties:
  • 0 Henk 'm!

Anoniem: 27915

Op dinsdag 05 februari 2002 10:10 schreef beurdy het volgende:
opties 2 en 3 spreken me wel aan... kun je iets meer uitleg geven over hoe ik dat aanpak?
Zij krijgen een vast IP. In je iptables zet je dus als eerste regels dat alle inkomende traffic van en alle uitgaande traffic naar deze IPs geignoret moet worden.

bv, IP1=192.168.100.10 en IP2=192.168.100.11:
code:
1
2
3
4
5
6
7
8
9

IPTABLES=/sbin/iptables
REJECTIP1=192.168.100.10
REJECTIP2=192.168.100.11

${IPTABLES} -A INPUT -j REJECT --reject-with icmp-net-prohibited -s ${REJECTIP1} d 0/0
${IPTABLES} -A INPUT -j REJECT --reject-with icmp-net-prohibited -s ${REJECTIP2} d 0/0

${IPTABLES} -A OUTPUT -j REJECT --reject-with icmp-net-prohibited -s 0/0 -d ${REJECTIP1}
${IPTABLES} -A OUTPUT -j REJECT --reject-with icmp-net-prohibited -s 0/0 -d ${REJECTIP2}

En dat dus aan het begin van je firewall script, zodat deze de hoogste prioriteit krijgen en alles van hun dus wordt gedropt.

dinsdag 5 februari 2002 10:31

Acties:
  • 0 Henk 'm!
  • RvdH
  • Registratie: Juni 1999
  • Laatst online: 04-02 14:45

RvdH

Uitvinder van RickRAID

Zoek uit wat hun MAC adressen zijn, en comment die in /etc/dhcpd.conf zodat ze geen IP adres krijgen.

Dit kunnen ze natuurlijk wel omzeilen door zelf een IP in te stellen, daarom kun je het beste nog even wat iptables rules aanmaken:

/sbin/iptables -A input -s 1.2.3.4 -j DROP

Waarbij 1.2.3.4 hun IP is, maar als ze dat veranderen kunnen ze er weer bij, dus dan moet je zorgen dat die rules up-to-date blijven.

dinsdag 5 februari 2002 10:35

Acties:
  • 0 Henk 'm!
  • imdos
  • Registratie: Maart 2000
  • Laatst online: 02-06 15:31

imdos

I use FreeNAS and Ubuntu

Je kan toch met iptables gewoon locken op mac-adres! Dan moeten ze dat eerst faken voordat ze iets anders kunnen doen.

En anders zorgen dat ze per-se via je dhcp moeten en ze dan een ip-adres in een andere range geven ofzo, zodat ze geen access hebben tot de rest!

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

dinsdag 5 februari 2002 10:36

Acties:
  • 0 Henk 'm!

Anoniem: 27915

Op dinsdag 05 februari 2002 10:31 schreef strlen het volgende:
/sbin/iptables -A input -s 1.2.3.4 -j DROP
REJECT lijkt me handiger, dan kun je een ICMP error terugsturen... Zoals icmp-net-prohibited, dat de netwerktoegang niet is toegestaan. Misschien geven IE/Mozilla nog wel een popupschermpje ook :D

dinsdag 5 februari 2002 15:04

Acties:
  • 0 Henk 'm!
  • RvdB
  • Registratie: Februari 2001
  • Laatst online: 11-02 15:15

RvdB

Kijk even op bovendelft.xs4all.nl; staat ergens een scriptje dat ipdrop heet. Bedoeld om dos aanvallen en zo te stoppen, maar werkt ook prima met intern netwerk. Uiterst eenvoudig afsluiten en heraansluiten: ipdrop <ip.adres> on|off

edit:

script heet ipdrop of ipblock (denk eerste)

Athlon 800 @ A7V133; 256MB; 40GB, GeForce2MX-GS 205/205

dinsdag 5 februari 2002 16:36

Acties:
  • 0 Henk 'm!

Anoniem: 13609

Of je zet ze in je routing table..
code:
1

/sbin/route add -host <ip> reject

Misschien niet zo netjes als via iptables, maar werkt wel ;)
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq