iptables und whitelist

ragnar

ragnar

Doppel-As
Moin zusammen,

Nach einer Ewigkeit melde ich mich mal hier zurück. Ich hab da so ein kleines Problemchen. Ich mach z.Zt. eine Umschulung zum Fachinformatiker Systemintegration und wir haben zur Übung eine Aufgabe bekommen das wir ein komplettes Firmennetzwerk entwickeln sollen. Soweit, so gut. Ein Teilaufgabe ist folgende:

Internetzugang mit Whitelist, gepflegt durch Mitarbeiter der IT-Abteilung vor Ort.

Nun würde ich das ganz gerne auf dem Router machen der bisher so läuft:

Code:
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -t nat -F

/sbin/iptables -A FORWARD -o eth0 -s 192.168.1.0/24 -m conntrack --ctstate NEW -j ACCEPT
/sbin/iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/sbin/sysctl -w net.ipv4.ip_forward=1

Um das ganz zu verdeutlichen habe ich mal eine Grafik erstellt
https://www.theragnarbay.org/netzwerkkarte.png

Kann mir jemand mal einen Tipp geben wie das gehen soll? Ich bastel da jetzt schon seit 3 Tagen dran rum und komm auf keinen grünen Zweig :(

lg
ragnar
 
M

marce

Kaiser
Internetzugang mit Whitelist, gepflegt durch Mitarbeiter der IT-Abteilung vor Ort.
tja, wie ist es denn gemeint?
* Client-Whitelist? (also PC1, PC2, PC4 darf in's Internet, PC3 nicht)
* Netzwerk-Whitelist (192.168.50. ok, 192.168.51. nicht)
* Benutzer-Whitelist (User X darf, User Y nicht)
* URL / Domain-Whitelist (www.heise.de ok, www.youp***.com nicht)
* ...

Je nach dem sieht die Lösung anders aus.
 
ragnar

ragnar

Doppel-As
Tja, wenn ich das mal so genau wüsste. Ist ja nicht genauer definiert. :/ Hier im Schulungscenter ist die Whitelist Benutzerbezogen per Proxy (Squid). Ich würde gerne eine Rechnerlösung bevorzugen (PC1 darf, PC2 nicht usw.) damit man auch Mail oder anderes nutzen kann als HTTP.
 
karloff

karloff

Routinier
Also ich würde das ganze via squid umsetzen zumindest den internet zugang, squid ist da sehr felexibel und eigentlich recht einfach zu warten ***. Wenn ich mich recht entsinne kann man das ganze sogar über ein Windows AD managen, nur wer will das schon.

iptables bzw. nftables würde ich nur für die verwaltung von subnetzen verwenden und allg firewalling. Zumindest für meinen Geschmack zu anstrengend darin ne feinjustierung fürs surfen vorzunehmen.

***Stichwort SquidGuard
 

Ähnliche Themen

Port Forwarding mit iptables

ip6tables Problem

iptables verständniss frage, xrdp nicht erreichbar.

Wired-Lan komisches Verhalten

[SOLVED][CentOS 7] Samba server nicht erreichbar trotz firewall regeln.

Sucheingaben

nftables whitelist

,

firmennetzwerk internetzugang whitelist

Oben