netzwerk-traffic filtern

Dieses Thema im Forum "Security Talk" wurde erstellt von Nemesis, 12.03.2008.

  1. #1 Nemesis, 12.03.2008
    Nemesis

    Nemesis N3RD

    Dabei seit:
    28.01.2005
    Beiträge:
    2.165
    Zustimmungen:
    0
    hi,
    ich möchte in einem netzwerk filesharing und andere unerwünschte dinge unterbinden. ich habe mir gedacht, dass ich das mittels iptables realisere.

    situation:
    Vorhanden ist ein netzwerk (hier LAN1 genannt), das über einen router mit dem inet verbinden ist. in diesem netzwerk befindet sich ein subnetz (LAN2 genannt), das eine gruppe von pcs beinhaltet.
    in LAN1 befinden sich PCs die in einem seperaten raum befinden, bei denen dinge wie filesharing etc. unterbunden werden sollen.

    Lösungsansatz:
    ich habe mir ein iptables-script geschrieben, das auf einen pc kommt, der dann zwischen die abzuschottenden PCs und das restliche lan kommt.

    >>LINK zum Script<<

    lässt es sich realisieren, dass es für die pcs in diesem netzwerk nicht spürbar ist, dass sich diese firewall dazwischen befindet? also was gateway etc. angeht. es soll lediglich der traffic gefiltert werden. ansonsten soll, was netzwerkeinstellungen etc. angeht nichts geändert werden müssen.

    lässt sich das so realisieren ?


    thx!
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 supersucker, 12.03.2008
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    Wenn du das

    wirklich unterbinden willst, wirst du um eine Application Layer Firewall nicht herumkommen. Dann wirst du dich aber nach was anderem als iptables umsehen müssen, weil iptables kann das IMHO nicht (lasse mich da aber gerne korrigieren).
     
  4. Jabo

    Jabo Aufgabe ohne Minister

    Dabei seit:
    12.10.2006
    Beiträge:
    1.322
    Zustimmungen:
    0
    Ort:
    Hamburg
    Ich mich auch, aber du kannst nicht verhindern, daß die evtl. Traffic tunneln... und irgend welche offenen Ports müssen sie ja haben
     
  5. #4 Nemesis, 12.03.2008
    Nemesis

    Nemesis N3RD

    Dabei seit:
    28.01.2005
    Beiträge:
    2.165
    Zustimmungen:
    0
    das geht auch mit iptables: »LINK«
    aber mir gehts erst mal drum die port zu sperren und nur das raus lassen, was auch raus soll.
    dass die ports tunneln etc. davon gehe ich jetzt mal nicht aus.

    mir gehts hier eher drum, wire schalte ich die kiste mit der fw dazwischen.
     
  6. Jabo

    Jabo Aufgabe ohne Minister

    Dabei seit:
    12.10.2006
    Beiträge:
    1.322
    Zustimmungen:
    0
    Ort:
    Hamburg
    Was heißt "nicht spürbar"? Da müßte man jetzt grob wissen, was sie sehen.. als Standrad-Gateway / DNS / ....

    Der, den sie haben, könnte seinerseits einen Proxy benutzen, der dann filtert, aber warum geht das da nicht selbst, also auf dem, den sie schon haben?
     
  7. #6 Nemesis, 13.03.2008
    Nemesis

    Nemesis N3RD

    Dabei seit:
    28.01.2005
    Beiträge:
    2.165
    Zustimmungen:
    0
    das ist hier ein normales dsl-netz: splitter - router - clients
    ich möchte haben, dass das standard-gateway das selbe bleibt, also der client soll nichts an seiner konfiguration ändern müssen. einfach den filter dazwischen klemmen und fertig.
     
  8. Jabo

    Jabo Aufgabe ohne Minister

    Dabei seit:
    12.10.2006
    Beiträge:
    1.322
    Zustimmungen:
    0
    Ort:
    Hamburg
    Ob jetzt über Kabel oder Funk... also der Router ist Standard-Gateway? Aus Client-Sicht ist nichts mehr davor und dahinter logischerweise der Splitter.

    Der muß aber zwischen Clients und Router. Mir fiele spontan ein, intern im Netz der Firewall die IP zu geben, die der Router zur Zeit hat und diesem eine neue. Den Router dann in der FW als Standard-Gateway einstellen. Wenn der Router einen Filter nach MAC-Adressen zuläßt, diesen auf die Netzwerkkarte der FW setzen, die da dran hängt und keine andere zulassen. Sonst können findige Leute schnell mal ihren Standard-Gateway ändern.

    In etwa so denkbar?
     
  9. #8 Nemesis, 13.03.2008
    Nemesis

    Nemesis N3RD

    Dabei seit:
    28.01.2005
    Beiträge:
    2.165
    Zustimmungen:
    0
    ja, so hatte ich es bislang gedacht. ich dachte nur, dass es da eben vlt. einen andern weg gibt. aber dann realisiere ich es eben so.

    thx!
     
  10. Jabo

    Jabo Aufgabe ohne Minister

    Dabei seit:
    12.10.2006
    Beiträge:
    1.322
    Zustimmungen:
    0
    Ort:
    Hamburg
    Weiß nicht, aber das wäre doch gut so... ? Die FW ist dann ein NAT-Router für's gesamte Netz und geht selber über den DLS-Router ins Internet.
     
  11. #10 supersucker, 13.03.2008
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    Also Leute.....

    1.

    Natürlich nicht, entweder es wird was geblockt oder halt nicht.

    Ja, "traffic filtern" ist aber was anderes als Port sperren.

    Du musst schon wissen, was du willst.

    Aber nochmal, das hier:
    wirst du nur mit iptables nicht schaffen.

    @Jabo:

    Ähm, doch?

    Genau dafür ist schließlich eine Application Layer Firewall da.

    Bei uns läuft sowas, und da kannst du tunneln was du willst, wenn hier erlaubtes Protokoll + Payload nicht stimmen wird geblockt. (ja, auch die payload wird geprüft)
     
  12. #11 Nemesis, 13.03.2008
    Nemesis

    Nemesis N3RD

    Dabei seit:
    28.01.2005
    Beiträge:
    2.165
    Zustimmungen:
    0
    wenn ich zu ihnen sag, ändert eure einstellungen, ich hab ne fw dazwischen, dann muss ich mir das gemekker anhören. also sollten sie vonm der umstellung nix mitbekommen, daraus folgt, dass sie ihre einstellungen gleich bleiben müssen.
     
  13. #12 supersucker, 13.03.2008
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    Dann wird dir nur die Möglichkeit bleiben, auf dem Router selber eine Firewall zu betreiben bzw. eine transparente Firewall zu betreiben.
     
  14. #13 Nemesis, 13.03.2008
    Nemesis

    Nemesis N3RD

    Dabei seit:
    28.01.2005
    Beiträge:
    2.165
    Zustimmungen:
    0
    ich finde nicht wirklich was brauchbares zum thema application firewall für linux. gibts da nich auch was wie iptables ?
     
  15. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  16. #14 supersucker, 13.03.2008
    Zuletzt bearbeitet: 13.03.2008
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    Ich vermute mal eher nein.

    Ich kenne da bisher fast nur kommerzielle Lösungen.

    Wir haben bei uns einige sauteure Hardware-Lösungen im Einsatz.

    Wie schon gesagt, du musst entscheiden wie wichtig dir das ist.

    Oder du probierst es mit den wenigen kostenlosen Tools.

    Das hier:

    http://sourceforge.net/projects/open-firewall/

    wäre zumindest mal einen Blick wert.

    EDIT:

    Hossa, das hier:

    http://sourceforge.net/projects/l7-filter/

    sieht doch genau nach dem aus, was du brauchst:

     
  17. Jabo

    Jabo Aufgabe ohne Minister

    Dabei seit:
    12.10.2006
    Beiträge:
    1.322
    Zustimmungen:
    0
    Ort:
    Hamburg
    Das hört sich ja wirklich geil an.

    Aber was ich gesagt hatte, ging von den vorhandenen Mitteln aus und "transparent" wäre das gewesen, wenn die FW sich so darstellt wie vorher der Router (was für einer eigentlich?)

    Auf der FW hätte man noch zusätzlich Möglichkeiten wie SquidGaurd, weil es eben nicht einfach ne Schachtel zum einstöpseln ist. Die könnte man einfach so lassen, wie sie ist. Auch wenn / weil das Teil gar nichts filtern könnte.

    "nicht spürbar".... harr harr natürlich spüren die das, wenn E-Sel nicht mehr geht. Damit war doch gemeint, daß alles andere ohne zusätzliches Gefummel geht...

    Was direkt dazu führt, daß es auch Mecker gibt, wenn sich jemand traut, aber Mail lesen sollte jeder können, ohne bei sich was zu ändern. Also führt doch nichts daran vorbei, was anderes hin zu stellen, das sich so benimmt wie das, was vorher da stand bis auf den Filter.
     
Thema:

netzwerk-traffic filtern

Die Seite wird geladen...

netzwerk-traffic filtern - Ähnliche Themen

  1. Umlaute Filtern

    Umlaute Filtern: Hi zusammen, bin recht neu was UNIX Skripten angeht und hänge gerade bei etwas fest. Ich möchte eine Datei erstellen in welche ein Befehl kommt....
  2. Artikel: E-Mails filtern mit KMail

    Artikel: E-Mails filtern mit KMail: Fast alle E-Mail-Programme bieten einen Filtermechanismus an. In diesem Artikel wird die Anwendung des Filtermechanismus von KMail erläutert....
  3. FFmpeg 2.0 mit OpenCL und vielen neuen Filtern

    FFmpeg 2.0 mit OpenCL und vielen neuen Filtern: Das FFmpeg-Projekt hat sein Multimedia-Framework in der Version 2.0 veröffentlicht. FFmpeg ermöglicht es Anwendern, nahezu alle Multimediaformate...
  4. Filtern und zuordnen

    Filtern und zuordnen: Hallo, ich muss eine Eingabe filtern und zuordnen zB.: man gibt ein ---------- # /tmp/script 123.alpha 321.beta beta-blabla test test:alpha...
  5. String filtern

    String filtern: Moin, ich habe mich mal wieder rangesetzt und versucht ein bisschen C++ zu machen. In meinem Programm möchte ich eine Website laden und dann...