Wie alle Port sperren???

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
L

lolinger

Mitglied
Mitglied seit
2 Sep 2007
Beiträge
244
Punkte für Reaktionen
0
Punkte
0
Hallo!
Ich habe ein kleines Problem. Ich lebe mit 2 anderen Leuten in einer WG. Da liegt es natürlich nahe, dass man sich 1 Internetanschluss teilt. Da ich mich am besten in diesem Gebiet auskenne, läuft der Anschluss auf mich. Ich möchte sicher gehen, dass die Anderen nichts illegales im Internet machen können, was dann letzten Endes auf mich zurückkommen könnte. Nun, es besteht generell noch die Möglichkeit übers Studentennetzwerk (LRZ) via VPN ins Internet zu kommen. Ich möchte daher in der fritzbox alles außer eben den einen oder die beiden Ports blocken, die zur Verbindung fürs VPN notwendig sind. Da die dann ja letztlich übers Uninetz ins Internet gehen, werden Sie falls es Probleme geben sollte über ihren vpn-benutzernamen identifiziert. Ich selbst möchte mich nicht blocken, läuft ja schließlich auf mich der Anschluss. Ich dachte daran, allen eine feste IP zu geben (zum MACfake schaffen dies nicht). Kann man da vielleicht mit IPtables oder so was machen? Danke für eure ratschläge
 
Das kommt mir ehrlichgesagt etwas schwammig vor. Nimmt denn Port 80 nur http her? außerdem kann man auch über port 80 noch illegal herunterladen (wie über rapidshare z.B.)
 
Über Port 80 kann man theoretisch alles machen.
Da hilft nur Package-Inspection. Das schaut nach ob auch wirklich HTTP drin ist wo HTTP drauf steht. Das geht zwar mit grundsätzlich mit iptables, aber ich bezweifele, dass die Features in der fritzbox nutzbar sind, zumal dabei einiges an CPU-Last zustande kommen könnte.

HTTP-Downloads von rapidshare und co. kannst Du am Ende des Tages nur durch blocken der URL unterbinden.
 
flaaabes schrieb:
Über Port 80 kann man theoretisch alles machen.
....
Zum Vergrößern anklicken....
Ja, aber er will Port 80 ja auch blocken, für die zwei anderen User:
Ich möchte daher in der fritzbox alles außer eben den einen oder die beiden Ports blocken, die zur Verbindung fürs VPN notwendig sind. Da die dann ja letztlich übers Uninetz ins Internet gehen, werden Sie falls es Probleme geben sollte über ihren vpn-benutzernamen identifiziert. Ich selbst möchte mich nicht blocken, läuft ja schließlich auf mich der Anschluss.
Zum Vergrößern anklicken....
 
Hoppla, das hab ich überlesen.
Naja... dann muss er eigentlich gar keine Ports sperren, sondern für die beiden Benutzer nur die Kommunikation mit dem VPN-Endpunkt der Uni zulassen.
 
Er muss die IP-Adressen der zwei anderen User für die FORWARD chain (iptables) blocken, denn er will ja weiter vollen Zugang über die Box haben, d. h. über die FORWARD chain.

Ich selbst möchte mich nicht blocken
Zum Vergrößern anklicken....
 
Oder arbeite doch mit 2 Boxen: Eine hängt am Internet und dahinter noch eine Box, wo du die ar7.cfg änderst, so dass nur der VPN erreichbar ist.
 
Code: 
"reject tcp host 192.168.178.20 any range 1 79", 
"reject tcp host 192.168.178.20 any range 81 442",
"reject tcp host 192.168.178.20 any range 444 65535",               
                                        
"reject udp host 192.168.178.20 any range 1 79", 
"reject upd host 192.168.178.20 any range 81 442",                                             
"reject upd host 192.168.178.20 any range 444 65535",

Wenn Du die Ports anpasst, ist das doch alles kein Problem!

Gruß
mastertester
 
Port 80 und 443 hast du rausgenommen, darf ich fragen weshalb?
 
Weil in meinem damaligen Fall alles außer das surfen im Web gesperrt sein sollte.

Damal wollte ich die benutzung von Kazaa, Emule und co verhinden.

Wenn Du das ganze anpasst, dann sollte es deine Zwecke erfüllen.

Gruß
mastertester
 
Hallo zusammen,

bin jetzt schon ne ganze Weile an den Firewallregeln. Ich wollte das neue Gastnetz etwas absichern, so das nur noch http und https geht. Mit den oben genannten Regeln klappt das aber einfach nicht. Ich hab die im Abschnitt dsldpconfig jeweils bei lowinput und highoutput eingetragen. Es klappt nicht.
Hat vielleicht jemand eine Erklährung wie diese Regeln genau funktionieren, Syntax und was das mit dem low und high auf sich hat.
Normalerweise hätte ich bei einem Firewall ein "permit ip 192.168.179.0 any range 80" und danach mit deny alle ports gesperrt. Aber so geht das in der ar7 wohl nicht.
Der Versuch mit "deny tcp 192.168.179.20 any range 1 65535" oder reject und das gleiche für udp, müßte doch eigentlich alles sperren, geht aber auch nicht.
Zum testen hab ich nach dem ändern der ar7.cfg den multid gekillt (killal -9 multid) und neu gestartet. Ich hoffe das reicht zum ausprobieren.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 350 (Mitglieder: 6, Gäste: 344)

Neueste Beiträge

Statistik des Forums

Themen
246,284
Beiträge
2,249,439
Mitglieder
373,877
Neuestes Mitglied
Bbj
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück