• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Mit iptables alles blockieren außer bestimmte Gruppe

B

bunter fisch

Hallo,

ich hab hier 2 Netzwerkschnittstellen am Rechner und möchte den Internettraffic mit iptables regeln. Bestimmte Apps sollen nur über LAN ins Netz gehen, bestimmte nur über WLAN. Es sind getrennte DSL-Zugänge.

Muss ich zunächst ALLES blockieren mit

Code: 
iptables -A INPUT -i wlan0 -j DROP

und dann explizit für wlan0 wieder freigeben

Code: 
iptables -A INPUT -i wlan0 -gid-owner gruppe -j ACCEPT

oder widerspricht sich das? Oder könnte ich auch alles in den 1. Command setzen und die Gruppenzugehörigkeit negieren? Mit den 2 Kommandos läuft es nämlich nicht.

Edit
Eine kurze Ergänzung. Worauf bezieht sich die Option -s? Auf die IP im Internet von der ein Prog. Pakete erhält oder auf den Router, der dem, Rechner direkt "vorgeschaltet" ist?
 
Gräfin Klara

Gräfin Klara

bunter fisch schrieb:
Hallo,
Zum Vergrößern anklicken....
Hallo

bunter fisch schrieb:
ich hab hier 2 Netzwerkschnittstellen am Rechner und möchte den Internettraffic mit iptables regeln...
Zum Vergrößern anklicken....
Warum mit iptables?

bunter fisch schrieb:
Bestimmte Apps sollen nur über LAN ins Netz gehen, bestimmte nur über WLAN. Es sind getrennte DSL-Zugänge.
Zum Vergrößern anklicken....
Fast alle "Apps" bieten per Konfiguration die Möglichkeit, sich an ein Netzwerk-Device zu binden.
Das kann sein mit Namen, wie z.B. eno1 oder mit der IP dieses devices.
Damit arbeitet die "App" nur mit diesem device und du hast genau das erreicht, was du willst.

bunter fisch schrieb:
Edit
Eine kurze Ergänzung. Worauf bezieht sich die Option -s? Auf die IP im Internet von der ein Prog. Pakete erhält oder auf den Router, der dem, Rechner direkt "vorgeschaltet" ist?
Zum Vergrößern anklicken....
-s für source und ist die IP des Erzeugers eines Paketes, also die IP der Quelle.
Kommt das Paket vom Router selbst, dann ist es diese. Kommt das Paket von außen ÜBER den Router, dann ist es eine IP aus dem Internet.

Gruß
Gräfin Klara
 
S

spoensche

Anwendungen kannst du mit iptables nur mit dem Layer 7 Filter erlauben oder blockieren. Ohne den Layer 7 Filter wird das nichts.

Wenn du ein paar Informationen mehr bereitstellen könntest, z.B. um was für Anwendungen es sich handelt, welche Protokolle die Anwendungen verwenden usw., dann können wir dir genauere Tipps geben.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben