netzwerk-traffic filtern

Nemesis

Nemesis

N3RD
hi,
ich möchte in einem netzwerk filesharing und andere unerwünschte dinge unterbinden. ich habe mir gedacht, dass ich das mittels iptables realisere.

situation:
Vorhanden ist ein netzwerk (hier LAN1 genannt), das über einen router mit dem inet verbinden ist. in diesem netzwerk befindet sich ein subnetz (LAN2 genannt), das eine gruppe von pcs beinhaltet.
in LAN1 befinden sich PCs die in einem seperaten raum befinden, bei denen dinge wie filesharing etc. unterbunden werden sollen.

Lösungsansatz:
ich habe mir ein iptables-script geschrieben, das auf einen pc kommt, der dann zwischen die abzuschottenden PCs und das restliche lan kommt.

>>LINK zum Script<<

lässt es sich realisieren, dass es für die pcs in diesem netzwerk nicht spürbar ist, dass sich diese firewall dazwischen befindet? also was gateway etc. angeht. es soll lediglich der traffic gefiltert werden. ansonsten soll, was netzwerkeinstellungen etc. angeht nichts geändert werden müssen.

lässt sich das so realisieren ?


thx!
 
Wenn du das

in LAN1 befinden sich PCs die in einem seperaten raum befinden, bei denen dinge wie filesharing etc. unterbunden werden sollen.

wirklich unterbinden willst, wirst du um eine Application Layer Firewall nicht herumkommen. Dann wirst du dich aber nach was anderem als iptables umsehen müssen, weil iptables kann das IMHO nicht (lasse mich da aber gerne korrigieren).
 
das geht auch mit iptables: »LINK«
aber mir gehts erst mal drum die port zu sperren und nur das raus lassen, was auch raus soll.
dass die ports tunneln etc. davon gehe ich jetzt mal nicht aus.

mir gehts hier eher drum, wire schalte ich die kiste mit der fw dazwischen.
 
lässt es sich realisieren, dass es für die pcs in diesem netzwerk nicht spürbar ist, dass sich diese firewall dazwischen befindet? also was gateway etc. angeht. es soll lediglich der traffic gefiltert werden. ansonsten soll, was netzwerkeinstellungen etc. angeht nichts geändert werden müssen.
Was heißt "nicht spürbar"? Da müßte man jetzt grob wissen, was sie sehen.. als Standrad-Gateway / DNS / ....

Der, den sie haben, könnte seinerseits einen Proxy benutzen, der dann filtert, aber warum geht das da nicht selbst, also auf dem, den sie schon haben?
 
das ist hier ein normales dsl-netz: splitter - router - clients
ich möchte haben, dass das standard-gateway das selbe bleibt, also der client soll nichts an seiner konfiguration ändern müssen. einfach den filter dazwischen klemmen und fertig.
 
das ist hier ein normales dsl-netz: splitter - router - clients
Ob jetzt über Kabel oder Funk... also der Router ist Standard-Gateway? Aus Client-Sicht ist nichts mehr davor und dahinter logischerweise der Splitter.

ich möchte haben, dass das standard-gateway das selbe bleibt, also der client soll nichts an seiner konfiguration ändern müssen. einfach den filter dazwischen klemmen und fertig.
Der muß aber zwischen Clients und Router. Mir fiele spontan ein, intern im Netz der Firewall die IP zu geben, die der Router zur Zeit hat und diesem eine neue. Den Router dann in der FW als Standard-Gateway einstellen. Wenn der Router einen Filter nach MAC-Adressen zuläßt, diesen auf die Netzwerkkarte der FW setzen, die da dran hängt und keine andere zulassen. Sonst können findige Leute schnell mal ihren Standard-Gateway ändern.

In etwa so denkbar?
 
ja, so hatte ich es bislang gedacht. ich dachte nur, dass es da eben vlt. einen andern weg gibt. aber dann realisiere ich es eben so.

thx!
 
Also Leute.....

1.

lässt es sich realisieren, dass es für die pcs in diesem netzwerk nicht spürbar ist, dass sich diese firewall dazwischen befindet?

Natürlich nicht, entweder es wird was geblockt oder halt nicht.

also was gateway etc. angeht. es soll lediglich der traffic gefiltert werden. ansonsten soll, was netzwerkeinstellungen etc. angeht nichts geändert werden müssen.

Ja, "traffic filtern" ist aber was anderes als Port sperren.

Du musst schon wissen, was du willst.

Aber nochmal, das hier:
ich möchte in einem netzwerk filesharing und andere unerwünschte dinge unterbinden. ich habe mir gedacht, dass ich das mittels iptables realisere.

wirst du nur mit iptables nicht schaffen.

@Jabo:

Ich mich auch, aber du kannst nicht verhindern, daß die evtl. Traffic tunneln...

Ähm, doch?

Genau dafür ist schließlich eine Application Layer Firewall da.

Bei uns läuft sowas, und da kannst du tunneln was du willst, wenn hier erlaubtes Protokoll + Payload nicht stimmen wird geblockt. (ja, auch die payload wird geprüft)
 
Also Leute.....

1.



Natürlich nicht, entweder es wird was geblockt oder halt nicht.

wenn ich zu ihnen sag, ändert eure einstellungen, ich hab ne fw dazwischen, dann muss ich mir das gemekker anhören. also sollten sie vonm der umstellung nix mitbekommen, daraus folgt, dass sie ihre einstellungen gleich bleiben müssen.
 
wenn ich zu ihnen sag, ändert eure einstellungen, ich hab ne fw dazwischen, dann muss ich mir das gemekker anhören. also sollten sie vonm der umstellung nix mitbekommen, daraus folgt, dass sie ihre einstellungen gleich bleiben müssen.

Dann wird dir nur die Möglichkeit bleiben, auf dem Router selber eine Firewall zu betreiben bzw. eine transparente Firewall zu betreiben.
 
ich finde nicht wirklich was brauchbares zum thema application firewall für linux. gibts da nich auch was wie iptables ?
 
Ich vermute mal eher nein.

Ich kenne da bisher fast nur kommerzielle Lösungen.

Wir haben bei uns einige sauteure Hardware-Lösungen im Einsatz.

Wie schon gesagt, du musst entscheiden wie wichtig dir das ist.

Oder du probierst es mit den wenigen kostenlosen Tools.

Das hier:

http://sourceforge.net/projects/open-firewall/

wäre zumindest mal einen Blick wert.

EDIT:

Hossa, das hier:

http://sourceforge.net/projects/l7-filter/

sieht doch genau nach dem aus, was du brauchst:

l7-filter classifies packets based on patterns in application layer data. This allows correct classification of P2P traffic that uses unpredictable ports as well as standard protocols running on non-standard ports.
 
Zuletzt bearbeitet:
Das hört sich ja wirklich geil an.

Aber was ich gesagt hatte, ging von den vorhandenen Mitteln aus und "transparent" wäre das gewesen, wenn die FW sich so darstellt wie vorher der Router (was für einer eigentlich?)

Auf der FW hätte man noch zusätzlich Möglichkeiten wie SquidGaurd, weil es eben nicht einfach ne Schachtel zum einstöpseln ist. Die könnte man einfach so lassen, wie sie ist. Auch wenn / weil das Teil gar nichts filtern könnte.

"nicht spürbar".... harr harr natürlich spüren die das, wenn E-Sel nicht mehr geht. Damit war doch gemeint, daß alles andere ohne zusätzliches Gefummel geht...

Was direkt dazu führt, daß es auch Mecker gibt, wenn sich jemand traut, aber Mail lesen sollte jeder können, ohne bei sich was zu ändern. Also führt doch nichts daran vorbei, was anderes hin zu stellen, das sich so benimmt wie das, was vorher da stand bis auf den Filter.
 
Aber was ich gesagt hatte, ging von den vorhandenen Mitteln aus und "transparent" wäre das gewesen, wenn die FW sich so darstellt wie vorher der Router (was für einer eigentlich?)
genau, ich habe jetzt auch der netzwerkkarte im zu filternden netz die ip des gateways gegeben, also denke ich sollte auf den clients nichts modifiziert werden müssen.
mit dem dass die clients nichts merken sollten habe ich gemeint, dass sie keine einstellungen verändern müssen. dass nacher kin p2p mehr geht ist schon klar ;).
momentan habe ich einen ipcop installiert, die zeit hat mir nur nicht gereicht um das teil zu konfigurieren, aber das werde ich nächste woche vornehmen, und dann werde ich mir auch mal den layer7-filter anschauen.

thx!
 
Zurück
Oben