Firewall Script gesucht

E

exponator

Grünschnabel
Hi Leute,
ich möchte mich nichtb lange mit dem Regelwerk einer Firewall beschäftigen müssen.
Dafür habe ich nicht die Zeit.
Ich habe ein kleines Netzwerk mit 1 Server + 6 Rechnern.
Der Server ist bestückt mit Firewall und Proxy.
Den Proxy habe ich mitlerweile so eingerichtet, das er FTP + WWW ab 21.00 Uhr schließt.
Leider läßt es sich nichtb damit einrichten, das er auch ICQ dicht macht. Was aber soll.

Ich suche ein Script das folgende Regel in meine SuSE-Firewall einbaut:
Sobald eine IP vom internen Netz eintrifft und über den ICQ Port will soll sie geblockt werden.

Wenn ich anhand dieser Regel kapiert habe wies geht,
soll dieses Script (oder ein anderes) dann ab einer bestimmten Uhrzeit die Regel ändern.
D.h. ICQ wieder freischalten.

Ich hoffe ich könnt mir helfen.
 
Code:
man iptables
Sorry, hab aber besseres zu tun als dir deine Firewall zu konfigurieren. Gibt genug Tools, mit denen sich sowas problemlos erledigen laesst, schau dir z.B. mal fwbuilder an. Abgesehen davon habe ich hier Routing-Skripte mit iptables schon mindestens 1 Mal reingepackt, benutze also einfach die Boardsuche.
 
theton schrieb:
Code:
man iptables
Sorry, hab aber besseres zu tun als dir deine Firewall zu konfigurieren. Gibt genug Tools, mit denen sich sowas problemlos erledigen laesst, schau dir z.B. mal fwbuilder an. Abgesehen davon habe ich hier Routing-Skripte mit iptables schon mindestens 1 Mal reingepackt, benutze also einfach die Boardsuche.
@slasher
Leider ist es nicht das, was ich gesucht habe.
@theton
Danke.
Das war deutlich genug gesprochen.
Es wäre zwar nur, wie ich denke, eine einzige Zeile gewesen, die man hätte posten müssen, damit ich weiß wies geht. Aber wenn man nicht helfen will. Auch OK.

Für mich ist damit dieser Thread geschlossen.
Vielen Dank @ all.
 
Na ja.

Du hast nicht wirklich Ahnung wie man sich in nem Forum verhällt. Zumindest nach 2 Antworten den Tread einfach so abzuwürgen weil nicht sofort jeder annrent und dir helfen will ist ein wenig, na ja.

Du kannst einfach eine kleine Regel schreiben mit der du den ICQ Port Speerst und eine mit der du den Port freigibst.

Dann führst du mit Cron Abends einfach die Sperrung durch und Morgends gibts du das Ding über Cron wieder frei.

man iptables bzw Google hätte in 5 Minuten zu der Lösung geführt.

So ungefähr könnte deine Lösung aussehen.

Sperren:

iptables -A OUTPUT --dport 5190 -j REJECT
iptables -A FORWARD --dport 5190 --sport 5190 -j REJECT
iptables -A INPUT --sport 5190 -j REJECT

Wieder freigeben:

iptables -D OUTPUT --dport 5190 -j REJECT
iptables -D FORWARD --dport 5190 --sport 5190 -j REJECT
iptables -D INPUT --sport 5190 -j REJECT

Gruß Sono
 
exponator schrieb:
Hi Leute,
ich möchte mich nichtb lange mit dem Regelwerk einer Firewall beschäftigen müssen.
Dafür habe ich nicht die Zeit.

exponator schrieb:
as ich gesucht habe.
@theton
Danke.
Das war deutlich genug gesprochen.
Es wäre zwar nur, wie ich denke, eine einzige Zeile gewesen, die man hätte posten müssen, damit ich weiß wies geht. Aber wenn man nicht helfen will. Auch OK.

Für mich ist damit dieser Thread geschlossen.
Vielen Dank @ all.

was genau war den deine erwartungshaltung bitte?
du hast keine zeit dir diesen evtl. einzeiler anzueignen ...erwartest aber das diese zeit jemand anders für dich investiert?
du wärst sicher auch alleine auf diese lösung gekommen wenn du z.b google damit bemüht hättest :]

btw: wann ein thread geschlossen wird bestimmen die mod's :sly:
 
Ich muss sagen, dass die erste Antwort eigentlich schon sehr gut war. Man muss nicht viel wissen und kann es sofort einsetzten. Also eigentlich das was du gesucht hast.
 
Hm vermutlich liest der Typ so oder so nicht weiter.
Würde mal behaupten jeder der hier noch postet verschwendet seine Zeit so lange es von dem Starter kein Feedback mehr gibt.

Gruß Sono
 
Dank an alle!

Hi @ all
Ich habe mal wieder etwas Zeit gefunden.

damager schrieb:
was genau war den deine erwartungshaltung bitte?
du hast keine zeit dir diesen evtl. einzeiler anzueignen ...erwartest aber das diese zeit jemand anders für dich investiert?
Hi damager,
jemand von euch, mit so viel Ahnung, hätte es einfach Sono gleichtun sollen und eine Antwort posten.
Warum seid ihr denn gleich so aufbrausend?
War man das bei Dir oder theton auch?
du wärst sicher auch alleine auf diese lösung gekommen wenn du z.b google damit bemüht hättest
Eben nicht. Ich habs ja versucht, aber nichts dementsprechendes gefunden.
btw: wann ein thread geschlossen wird bestimmen die mod's :sly:
Is ja schon gut. Nun komm mal wieder runter. :headup:

mcas schrieb:
Also eigentlich das was du gesucht hast.
Hi mcas,
solltest Du die Seite mit dem iptables Generator meinen, muss ich verneinen.
Die Seite ist zwar gut, aber hatte mit meiner Anfrage nichts zu tun.
Dafür war meine Anfrage leider zu speziell.

Alexander schrieb:
Also mir hat u.a diese Seite geholfen.
Danke Alexander. :)
Gute Seite. Werde sie mir mal ausdrucken und bei Gelegenheit reinziehen.

sono schrieb:
Na ja.
Du hast nicht wirklich Ahnung wie man sich in nem Forum verhällt. Zumindest nach 2 Antworten den Tread einfach so abzuwürgen weil nicht sofort jeder annrent und dir helfen will ist ein wenig, na ja.
Ja stimmt schon.
Eine Antwort, wie die von theton, habe ich nicht erwartet. Das hat mich sauer gestimmt.
Entschuldigung an alle.
Du kannst einfach eine kleine Regel schreiben mit der du den ICQ Port Speerst und eine mit der du den Port freigibst.
Dann führst du mit Cron Abends einfach die Sperrung durch und Morgends gibts du das Ding über Cron wieder frei.
Genau so hatte ich mir das vorgestellt.
man iptables bzw Google hätte in 5 Minuten zu der Lösung geführt.
Wenn man denn genau weiß, nach was man suchen soll.
Ich habs zumindest versucht. Aber erfolglos.
So ungefähr könnte deine Lösung aussehen.

Sperren:
iptables -A OUTPUT --dport 5190 -j REJECT
iptables -A FORWARD --dport 5190 --sport 5190 -j REJECT
iptables -A INPUT --sport 5190 -j REJECT

Wieder freigeben:
iptables -D OUTPUT --dport 5190 -j REJECT
iptables -D FORWARD --dport 5190 --sport 5190 -j REJECT
iptables -D INPUT --sport 5190 -j REJECT

Gruß Sono
Danke Sono
Wenn ich jetzt noch die sources (IPs) einfüge, sollte es klappen.
Danke.

sono schrieb:
Hm vermutlich liest der Typ so oder so nicht weiter.
Doch, der Typ war nur so lange nicht erreichbar. :(
Ich hatte es nicht länger ausgehalten und musste wissen, ob doch noch jemand eine passende Antwort parat hat ohne gleich aufzubrausen.
Zudem hatte ich gerade mal wieder etwas Zeit gefunden.
Bin aber auch schon wieder weg.

thanks @ all
exponator
 
exponator schrieb:
Hi damager,
jemand von euch, mit so viel Ahnung, hätte es einfach Sono gleichtun sollen und eine Antwort posten.
Warum seid ihr denn gleich so aufbrausend?
War man das bei Dir oder theton auch?

Eben nicht. Ich habs ja versucht, aber nichts dementsprechendes gefunden.

Is ja schon gut. Nun komm mal wieder runter. :headup:

aufbrausend? *umguck* ich mit sicherheit nicht....dafür fehl mir die zeit :sly:

mit dir ist hier keiner schlecht umgegangen sondern dich nur "bestimmt" darauf hingewiesen das man nicht einfach in ein forum kommt und sagen:"ich habe keine zeit....bitte löst mein problem". das leuchtet doch ein oder?

auch das mit dem thread-closen hast du in den falschen hals bekommen :]
die moderatoren für diesen board-teil sind: Goodspeed, Havoc][ (hier ersichtlich) und die beschliessen wann hier was ge'closed wird. also war das keine aufspielung meinerseits.

alles soweit wieder klar? :headup:
 
Zuletzt bearbeitet:
exponator schrieb:
Warum seid ihr denn gleich so aufbrausend?
War man das bei Dir oder theton auch?
Nein, das war man bei mir nicht, weil ich vorher selbst versucht habe eine Loesung zu finden und nicht erwartet habe, dass andere meine "Arbeit" machen. An ein Forum wende ich mich im Normalfall nur, wenn ich fuer ein Problem selbst keine Loesung finden kann oder mir eine Sache unklar ist und ich keine Erklaerung dafuer finde. Auf diese Weise habe ich (gluecklicherweise) einiges gelernt und konnte dabei eine Menge an Erfahrung im Umgang mit Suchmaschinen sammeln. Das Thema "Eigeninitiative der User" hatten wir hier schon in zig Threads und es aergert mich einfach, wenn sich Leute an das Board wenden, die Fragen stellen, die mit Hilfe einer Manpage und/oder Google in 5 Minuten beantwortet waeren. Ein Forum ist dazu da Probleme zu loesen, aber ein wenig Eigeninitiative sollte man von jedem User erwarten koennen. Jeder hat mal angefangen, aber der Grossteil von uns hat auch fleissig Manpages gelesen und wohl die meisten duerften Dauergast bei www.google.de/linux sein. Haettest du das auch gemacht, waerst du wahrscheinlich ziemlich schnell auf http://www.siliconvalleyccie.com/linux-hn/iptables-intro.htm gestossen und haettest auch gleich noch etwas Hintergrundwissen bekommen, damit du auch weisst, was du da tust.
 
Hallo Exponator,

ich hätte eine andere Idee für dich.
Einsatz eines Routers z.B.: X1200 (Bintec) + externe Schaltuhr bekommst du evtl. für 100 Euro bei Ebay.:))

Wenn du einen Bintecrouter dein eigen nennst kannst dich bei mir melden.
 
Zurück
Oben