.titleBar { margin-bottom: 5px!important; }

Iptables / Privoxy- (AVM-Firewall)- gegen P2P und Co.

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von Joschman, 5 Okt. 2008.

  1. Joschman

    Joschman Neuer User

    Registriert seit:
    22 Jan. 2008
    Beiträge:
    9
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #1 Joschman, 5 Okt. 2008
    Zuletzt bearbeitet: 7 Okt. 2008
    Schönen guten Tag,

    Ich habe bei meinem Wlannetz einen Nutzer, der trotz gutem zuredens nicht versteht, dass er nicht über diverse Programme downloaden soll.
    Mein Versuch dies zu unterbinden führte mich zu freetz, was nach einigen Aufwendungen nun auch läuft, und dem avm-firewall package.

    Des Weiteren habe ich mich auch schon hier versucht einzulesen, bin aber leider nicht so firm, dass ich nötigte Informationen für mein Problem extrahieren kann.

    Problem: Wlannetz (192.168.182.1 - 255.255.255.0) nur noch http, pop3, imap, ftp zulassen.



    Meine Frage ist, kennt jemand ein gutes HowTo, oder kann zumindest kurz die Strucktur und das Vorgehen (Befehle , Begriffe, etc...), vllt. anhand eines Beispiels erklären ?

    Über eure Hilfe bin ich schon jetzt dankbar.
     
  2. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,919
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Hi,

    du könntest sowas in dieser Art versuchen zu den Regeln hinzuzufügen. Zunächst (immer ausgehened vom WLAN-Netz)
    - die erlaubten Protokolle zulassen,
    - dann eine Regel "zu den internen Netzen alles erlauben" ( falls nötig ),
    - danach dann alles andere verbieten :
    Code:
    permit tcp 192.168.182.0 255.255.255.0 any eq 80 /* HTTP */
    permit tcp 192.168.182.0 255.255.255.0 any eq 443 /* SSL / HTTPS */
    permit tcp 192.168.182.0 255.255.255.0 any eq 21 /* FTP */
    permit tcp 192.168.182.0 255.255.255.0 any eq 20 /* FTP-Data */
    permit tcp 192.168.182.0 255.255.255.0 any eq 110 /* POP3 */
    permit tcp 192.168.182.0 255.255.255.0 any eq 143 /* IMAP */
    permit ip 192.168.182.0 255.255.255.0 192.168.178.0 255.255.255.0 /* alles lokale */
    deny ip 192.168.182.0 255.255.255.0 any /* alles andere verbieten */
    
    In der GUI wäre das dann wie im Anhang.
    Problematisch ist (und so nicht funktionieren wird) FTP, weil dazu noch Datenverbindungen auf die "Highports" benötigt würden...
    Um das "richtig" zu machen, müsstest du noch tiefer einsteigen und mit "iptables" arbeiten.

    Zudem lassen sich fast alle "bösen Protokolle" wieder tunneln, so dass du vermutlich wenig oder nur kurz Erfolg haben wirst.

    Jörg
     

    Anhänge:

    • GUI.png
      GUI.png
      Dateigröße:
      71.3 KB
      Aufrufe:
      75
  3. Joschman

    Joschman Neuer User

    Registriert seit:
    22 Jan. 2008
    Beiträge:
    9
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    hey danke

    Die Antwort hat mir sehr geholfen. Ich danke dir. :) Vllt. erbarmt sich jemand mal ein generelles HowTo zu schreiben und das irgendwo ab zu legen. DAnke.

    Bei Fragen zu Ip-tables komm ich nochmal auf dich zurück!

    mfg
    Joschi
     
  4. Joschman

    Joschman Neuer User

    Registriert seit:
    22 Jan. 2008
    Beiträge:
    9
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Wie erwartet

    MaxMuster >> du hattest recht. Unaufhörlich geht der Downstream weiter. Ist es denn mit iptables möglich besagten Download von diversen P2P oder ähnlichen zu verhindern?

    Wenn ja, würde ich gern wissen wie dies funktioniert =). Sprachbarrieren verhindern eine direkte Kommunikation zwischen mir und dem Nutzer. Sonst wäre das alles kein ding ;).


    mfg Joschi
     
  5. ao

    ao Aktives Mitglied

    Registriert seit:
    15 Aug. 2005
    Beiträge:
    2,078
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Folgendes ist ggf. etwas off-topic bzgl. Freetz, aber evtl. hilft es:
    Unterbinde die Installation von P2P- u.ä. Programmen auf dem betroffenen Rechner, z.B. über einen Gast-Account mit stark eingeschränkten Rechten. Das müsste doch irgendwie möglich sein, oder?
    (Sprachbarrieren sollten dann auch keine Rolle mehr spielen ;))
    Bietet außerdem Squid evtl. die Möglichkeit, so etwas zu blockieren?
     
  6. Joschman

    Joschman Neuer User

    Registriert seit:
    22 Jan. 2008
    Beiträge:
    9
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Also auf seinem privaten rechner kann ich nicht handwerkeln. Das geht nicht und kommt auch nicht in Frage!
     
  7. lxuser

    lxuser Mitglied

    Registriert seit:
    4 Nov. 2004
    Beiträge:
    287
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #7 lxuser, 7 Okt. 2008
    Zuletzt bearbeitet: 7 Okt. 2008
    Hallo,

    ich hatte hier früher drei Wohnungen (2*WG + Pärchen) an einem Anschluss. Einer musste auch laufend mit seinem PC in P2P-Netzen saugen und hatte dabei einen so hohen Upload, der auch den Download extrem verlangsamte.
    Da ich den Typen vorher schon kannte, war die Bedingung mit ins Netz zu dürfen, dass er nur Downloads über den Server laufen lässt, dessen Upload ordentlich eingestellt war. Dass er überhaupt P2P betrieb, störte mich ja nicht so sehr, schließlich lief der Anschluss auf seinen Namen ;)

    Da für alle anderen Surfen mit Modemgeschwindigkeit unzumutbar war, gab es zwei Mahnungen. Danach habe ich ihm alles dicht gemacht, nur nochsurfen über den Proxy war noch möglich. Damals hatte ich einen IPCop mit der Erweiterung Block Out Traffic.

    Das müsste auch mit der Fritzbox gehen.
    Eine Möglichkeit könnte die Kindersicherung sein. Wenn einer der Proxys aus Freetz trotz Kindersicherung erreichbar ist, wäre das die schnellste Lösung.
    Ansonsten evt. mit der AVM-Firefall in Freetz.

    Im Hochschulnetz habe ich mit dem IPCop auch eine Zeitlang auf Layer7-Ebene P2P-Protokolle gefiltert. Das erzeugte aber recht viel CPU-Last auf der betagten Hardware (Pentium 1) und senkte somit den Durchsatz stark.
    Deshalb erzwinge ich auch lieber surfen über einen Proxy und sperre alles, was nicht wirklich gebraucht wird.

    Ja, mit der Erweiterung Advanced Proxy für den Squid auf dem IPCop kann ich die Geschwindigkeit für bestimmte Filetypen drosseln, nur bestimmte Browserkennungen und Ziel-Ports erlauben... Ist beim Squid also nur eine Frage der Konfiguration.


    Viele Grüsse
    Mario
     
  8. ao

    ao Aktives Mitglied

    Registriert seit:
    15 Aug. 2005
    Beiträge:
    2,078
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    @Joschman: Sorry, mir war nicht klar, dass es nicht um Deinen PC ging.
     
  9. Joschman

    Joschman Neuer User

    Registriert seit:
    22 Jan. 2008
    Beiträge:
    9
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #9 Joschman, 7 Okt. 2008
    Zuletzt bearbeitet: 7 Okt. 2008
    Also ich werde aus den Antworten nicht schlau.

    Ich habe auf meiner box jetzt avm-firewall, privoxy. Wie kann ich nun über Privoxy den Traffic beschränken, sodass limewire und co. oder andere programme (bittorrent, emule) keinen Zugang finden.

    Ich finde immer nur Beiträge die Sagen: " Ja es ist wohl möglich ... ", nur als

    Aus dem "benutzerhandbuch" werde ich als leihe für privoxy nicht schlau.

    Danke mfg Joschi