Iptables / Privoxy- (AVM-Firewall)- gegen P2P und Co.

Joschman

Neuer User
Mitglied seit
22 Jan 2008
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Schönen guten Tag,

Ich habe bei meinem Wlannetz einen Nutzer, der trotz gutem zuredens nicht versteht, dass er nicht über diverse Programme downloaden soll.
Mein Versuch dies zu unterbinden führte mich zu freetz, was nach einigen Aufwendungen nun auch läuft, und dem avm-firewall package.

Des Weiteren habe ich mich auch schon hier versucht einzulesen, bin aber leider nicht so firm, dass ich nötigte Informationen für mein Problem extrahieren kann.

Problem: Wlannetz (192.168.182.1 - 255.255.255.0) nur noch http, pop3, imap, ftp zulassen.



Meine Frage ist, kennt jemand ein gutes HowTo, oder kann zumindest kurz die Strucktur und das Vorgehen (Befehle , Begriffe, etc...), vllt. anhand eines Beispiels erklären ?

Über eure Hilfe bin ich schon jetzt dankbar.
 
Zuletzt bearbeitet:
Hi,

du könntest sowas in dieser Art versuchen zu den Regeln hinzuzufügen. Zunächst (immer ausgehened vom WLAN-Netz)
- die erlaubten Protokolle zulassen,
- dann eine Regel "zu den internen Netzen alles erlauben" ( falls nötig ),
- danach dann alles andere verbieten :
Code:
permit tcp 192.168.182.0 255.255.255.0 any eq 80 /* HTTP */
permit tcp 192.168.182.0 255.255.255.0 any eq 443 /* SSL / HTTPS */
permit tcp 192.168.182.0 255.255.255.0 any eq 21 /* FTP */
permit tcp 192.168.182.0 255.255.255.0 any eq 20 /* FTP-Data */
permit tcp 192.168.182.0 255.255.255.0 any eq 110 /* POP3 */
permit tcp 192.168.182.0 255.255.255.0 any eq 143 /* IMAP */
permit ip 192.168.182.0 255.255.255.0 192.168.178.0 255.255.255.0 /* alles lokale */
deny ip 192.168.182.0 255.255.255.0 any /* alles andere verbieten */

In der GUI wäre das dann wie im Anhang.
Problematisch ist (und so nicht funktionieren wird) FTP, weil dazu noch Datenverbindungen auf die "Highports" benötigt würden...
Um das "richtig" zu machen, müsstest du noch tiefer einsteigen und mit "iptables" arbeiten.

Zudem lassen sich fast alle "bösen Protokolle" wieder tunneln, so dass du vermutlich wenig oder nur kurz Erfolg haben wirst.

Jörg
 

Anhänge

  • GUI.png
    GUI.png
    71.3 KB · Aufrufe: 75
hey danke

Die Antwort hat mir sehr geholfen. Ich danke dir. :) Vllt. erbarmt sich jemand mal ein generelles HowTo zu schreiben und das irgendwo ab zu legen. DAnke.

Bei Fragen zu Ip-tables komm ich nochmal auf dich zurück!

mfg
Joschi
 
Wie erwartet

MaxMuster >> du hattest recht. Unaufhörlich geht der Downstream weiter. Ist es denn mit iptables möglich besagten Download von diversen P2P oder ähnlichen zu verhindern?

Wenn ja, würde ich gern wissen wie dies funktioniert =). Sprachbarrieren verhindern eine direkte Kommunikation zwischen mir und dem Nutzer. Sonst wäre das alles kein ding ;).


mfg Joschi
 
Folgendes ist ggf. etwas off-topic bzgl. Freetz, aber evtl. hilft es:
Unterbinde die Installation von P2P- u.ä. Programmen auf dem betroffenen Rechner, z.B. über einen Gast-Account mit stark eingeschränkten Rechten. Das müsste doch irgendwie möglich sein, oder?
(Sprachbarrieren sollten dann auch keine Rolle mehr spielen ;))
Bietet außerdem Squid evtl. die Möglichkeit, so etwas zu blockieren?
 
Also auf seinem privaten rechner kann ich nicht handwerkeln. Das geht nicht und kommt auch nicht in Frage!
 
Hallo,

ich hatte hier früher drei Wohnungen (2*WG + Pärchen) an einem Anschluss. Einer musste auch laufend mit seinem PC in P2P-Netzen saugen und hatte dabei einen so hohen Upload, der auch den Download extrem verlangsamte.
Da ich den Typen vorher schon kannte, war die Bedingung mit ins Netz zu dürfen, dass er nur Downloads über den Server laufen lässt, dessen Upload ordentlich eingestellt war. Dass er überhaupt P2P betrieb, störte mich ja nicht so sehr, schließlich lief der Anschluss auf seinen Namen ;)

Da für alle anderen Surfen mit Modemgeschwindigkeit unzumutbar war, gab es zwei Mahnungen. Danach habe ich ihm alles dicht gemacht, nur nochsurfen über den Proxy war noch möglich. Damals hatte ich einen IPCop mit der Erweiterung Block Out Traffic.

Das müsste auch mit der Fritzbox gehen.
Eine Möglichkeit könnte die Kindersicherung sein. Wenn einer der Proxys aus Freetz trotz Kindersicherung erreichbar ist, wäre das die schnellste Lösung.
Ansonsten evt. mit der AVM-Firefall in Freetz.

Im Hochschulnetz habe ich mit dem IPCop auch eine Zeitlang auf Layer7-Ebene P2P-Protokolle gefiltert. Das erzeugte aber recht viel CPU-Last auf der betagten Hardware (Pentium 1) und senkte somit den Durchsatz stark.
Deshalb erzwinge ich auch lieber surfen über einen Proxy und sperre alles, was nicht wirklich gebraucht wird.

Bietet außerdem Squid evtl. die Möglichkeit, so etwas zu blockieren?
Ja, mit der Erweiterung Advanced Proxy für den Squid auf dem IPCop kann ich die Geschwindigkeit für bestimmte Filetypen drosseln, nur bestimmte Browserkennungen und Ziel-Ports erlauben... Ist beim Squid also nur eine Frage der Konfiguration.


Viele Grüsse
Mario
 
Zuletzt bearbeitet:
@Joschman: Sorry, mir war nicht klar, dass es nicht um Deinen PC ging.
 
Also ich werde aus den Antworten nicht schlau.

Ich habe auf meiner box jetzt avm-firewall, privoxy. Wie kann ich nun über Privoxy den Traffic beschränken, sodass limewire und co. oder andere programme (bittorrent, emule) keinen Zugang finden.

Ich finde immer nur Beiträge die Sagen: " Ja es ist wohl möglich ... ", nur als

Aus dem "benutzerhandbuch" werde ich als leihe für privoxy nicht schlau.

Danke mfg Joschi
 
Zuletzt bearbeitet:
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.