PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Iptables bringt mich um den Verstand



mor99
16.04.2006, 17:05
:hilfe2:

Hallo zusammen,

habe hier ein Problem und komme einfach nicht weiter :(

Habe einen Linux Router/Fileserver aufgebaut. Das ganze läuft unter SuSE 10 und ich bin soweit recht zufrieden. Meine Kinder surfen über den Squid mit Squidguard, meine Frau direkt über den Standardgateway ohne Restriktionen (sie ist ja über 18 :brav: ) .

Folgendes Problem: Meine Kinder sind oft in einem Chat http://www.habbohotel.de. Da das Habbohotel Shockwave einsetzt, kommen die Kinder über den Squid nicht drauf. Der benutzte Shockwave Player braucht eine direkte Verbindung ins Internet. Mit einem Http-Proxy kommt man da einfach nicht weiter.
Nun habe ich mir folgendes überlegt:

Iptables soll den Rechnern 192.168.0.20 und .30 den Zugiff auf explizit 4 IP-Adressen (62.50.37.96, 62.50.37.28, 62.50.38.64, 62.50.38.26) erlauben, das restliche www aber blockeren. Will heissen:

Ich trage bei den Kindern Standardgateway und DNS Server ein um das Habbohotel durchzulassen aber für den Rest müssen sie über den Proxy gehen.

Ich hoffe, dass ich mich halbwegs verständlich ausgedrückt habe? :think:

Könnte mir vielleicht jemand auf die Sprünge helfen und mir Ansätze bzw. die benötigen Regeln posten?


Ah, sorry... hier noch ein paar Daten zur Konfiguration:

Router:
SuSE 10
eth1 192.168.227.103/255.255.252.0 (mit WLAN Provider verbunden)
eth0 192.168.0.1/255.255.255.0 (über switch mit den Clients verbunden)

3 Clients:
WinXP
192.168.0.10 - .30

Mr .Pink
19.04.2006, 01:42
Ohne jetzt deine restlichen Regeln zu kennen und mit meinen bescheidenen
iptables Grundkenntnissen:

(Nehme mal an deine FORWARD-Policy steht auf DROP)


iptables -A FORWARD -i eth0 -s 192.168.0.20 -o eth1 -d 62.50.37.96 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.0.20 -o eth1 -d 62.50.37.28 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.0.20 -o eth1 -d 62.50.38.64 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.0.20 -o eth1 -d 62.50.38.26 -j ACCEPT

iptables -A FORWARD -i eth0 -s 192.168.0.30 -o eth1 -d 62.50.37.96 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.0.30 -o eth1 -d 62.50.37.28 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.0.30 -o eth1 -d 62.50.38.64 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.0.30 -o eth1 -d 62.50.38.26 -j ACCEPT

...damit die ankommenden Packete auch durchgelassen werden und damit das ganze stateful ist muss noch folgende Regel rein:
(wenn du sie nicht sowieso schon drin hast)


iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Havoc][
19.04.2006, 07:29
An den Regeln von Mr.Pink ist soweit nichts zu meckern. Würde ich zumindest auch so verwenden.

Havoc][