iptables auf fritz7050 - regeln um http für einen client zu sperren

[Blainy]

Hi allerseits,
ich habe es mit viel lesen hier (und anderswo) hinbekommen, eine 7050 box mit freetz-1.1.3 zu erweitern.
Das bauen und so hat alles funktioniert.
Auch das flashen hat funktioniert und ich kann freetz auf der Box aufrufen und so weiter.

Hintergrund ist folgender:
Ich habe in meinem Netzwerk den DSL Zugang über eine 7170 Box geregelt. An dieser Box ist eine 7050 als Repeater drangehängt, die den DSL Zugang der Hauptbox nutzt.
Hintergrund ist, dass unsere Kinder Ihre Zimmer im 2. Stock haben. Jetzt würde ich gerne für die PCs der Kinder alle Ports ausser 80 (für Internet) und 110+25 (für Email) sperren, damit z.B. Filesharing in Zukunft ausgeschlossen ist (ich habe meine Abmahnung schon hinter mir).

Ich habe Freetz bewusst nur mit AVM-Firewall und Iptables gebaut, andere Sachen brauche ich eigentlich nicht.

Kann mir jemand einen Tipp geben, wie ich entweder in der AVM Firewall oder in IPtables einstellen kann, dass nur die 3 Ports offen sind, oder auch wie ich einzelne Ports (Filesharing) gezielt sperren kann. IPs hier sind fix, ich kann also einzelne Clients bestimmen.

Vielleicht gibts dazu ja auch eine gute Anleitung, auch darüber wäre ich schon froh.

Danke im voraus für Eure Tipps!

 

[RalfFriedl]

Die AVM-Firewall wirkt nur für den Internet-Zugang. Wenn die Box also nicht selbst den Internetzugang übernimmt, wird das nichts bringen.
Ich weiß auch nicht, ob die Weiterleitung der Box als Repeater über iptables läuft.

 

[sf3978]

... für die PCs der Kinder alle Ports ausser 80 (für Internet) und ...

Filesharing soll auch über Port 80 möglich sein. Evtl. bei dd-wrt und den entsprechenden Routern mal rein schauen.

 

[the$kull]

@Blainy

Hast du zufällig mal über eine richtige Firewall nachgedacht, denn da kann man je nach alter der Kinder auch noch einen Webfilter integrieren. Wenn du noch einen zweiten rechner hast, kannst du zum besipiel von Astaro die Home Version installieren.

Vielleicht ist das mit Kanonen auf Spatzen schießen, aber ich find das ding super und bei mir läuft das ganze auf einer Intel Atom Kiste.

 

[Blainy]

Danke

Danke für Eure Antworten - da bin ich doch schon mal ein stück weiter.... wenn auch nicht wie erhofft

@RalfFriedl - also wenn ich dich richtig verstehe, muss ich dass ganze auf meiner Hauptbox zum laufen bringen?

@sf3978 - sorry - aber was ist dd-wrt?

@the$skull - ich habe noch eine Netgear FVS114 im Keller liegen, aber die hat kein WLAN, und das verkabeln wollte ich mir eigentlich sparen....

danke für den Tipp mit Astaro, schau ich mir gleich mal an, ich muss mir nur noch überlegen, wie ich meiner Frau den zusätzlichen Rechner abschwatze.... :spocht:

 

[RalfFriedl]

Es kommt auf einen Versuch an. Evtl. kannst Du die Box auch als Router und nicht als Repeater konfigurieren.

Aber wie oben bereits geschrieben wurde, können manche Programme auch Port 80 nutzen.

 

[sf3978]

...
@sf3978 - sorry - aber was ist dd-wrt?
...

dd-wrt ist eine alternative Firmware für bestimmte Router: >>> klick <<<

EDIT:

..., dass nur die 3 Ports offen sind, ...

#!/bin/sh

iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X

[COLOR="red"]iptables -P FORWARD DROP[/COLOR]

iptables -A FORWARD -p tcp –s <IP-Adresse> -d 0/0 -m multiport --dports 25,80,110 -j ACCEPT

 

[Jumper99]

Hintergrund ist, dass unsere Kinder Ihre Zimmer im 2. Stock haben. Jetzt würde ich gerne für die PCs der Kinder alle Ports ausser 80 (für Internet) und 110+25 (für Email) sperren, damit z.B. Filesharing in Zukunft ausgeschlossen ist (ich habe meine Abmahnung schon hinter mir).

Die alte Leier, wie/warum konnten Deine Kids die Filesharing Software überhaupt installieren? :-Ö

P2P lässt sich tunneln, wenn Deine Kiddies nicht wissen, wie, wissen es Ihre Klassenkameraden.

 

[Newbie0815]

a) Man kann soziologische Probleme nicht wirklich mit technischen Mitteln lösen. Soll heißen: der beste Schutz ist wenn deinen Kindern unmissverständlich klar gemacht wird dass sie Eure gesamte finanzielle Existenz aufs Spiel setzen wenn sie noch einmal irgendwas in dieser Richtung unternehmen


b) Ein reiner Paketfilter reicht nicht.. wie RalfRiedel schon schrieb können manche Programme über http Ports "raustunneln". Wenn du also gerichtsverwertbar nachweisen willst dass du alles mögliche getan hast solltest du über eine "richtige Firewall" nachdenken. Zum Beispiel "Dansguardian" .

http://dansguardian.org/

Dafür müsstest du einen stromsparenden Kleinrechner als reine Firewall einrichten.

Soweit ich mich erinnere gibt es auch reine Firewall Linuxdistributionen die Dansguardian oder andere ähnliche Funktionen so mitbringen dass man sie auch konfigurieren kann wenn man sich mit Linux nicht auskennt. Wenn du aber mit "Freetz" und IPtables umgehen kannst sollten solche Dinge für dich kein unüberwindbares Hindernis sein.
http://www.ipcop-forum.de/quickstart.php (Vielleicht gibt es so etwas ja auch mit Dansguardian so dass verschlüsselte Protokolle und Pakete die nicht wirklich zu Pop3 / SMTP /http passen nicht durchgelassen werden...

 

[the$kull]

@Newbie0815

Darum habe ich weiter oben schon den Astaro Security Gateway empfohlen, denn das Stück Software ist für Privatpersonen kostenlos und das incl. kommerziellen Filterlisten und AV. :-Ö