• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Mit iptables alles blockieren außer bestimmte Gruppe

Hallo,

ich hab hier 2 Netzwerkschnittstellen am Rechner und möchte den Internettraffic mit iptables regeln. Bestimmte Apps sollen nur über LAN ins Netz gehen, bestimmte nur über WLAN. Es sind getrennte DSL-Zugänge.

Muss ich zunächst ALLES blockieren mit

Code:
iptables -A INPUT -i wlan0 -j DROP

und dann explizit für wlan0 wieder freigeben

Code:
iptables -A INPUT -i wlan0 -gid-owner gruppe -j ACCEPT

oder widerspricht sich das? Oder könnte ich auch alles in den 1. Command setzen und die Gruppenzugehörigkeit negieren? Mit den 2 Kommandos läuft es nämlich nicht.

Edit
Eine kurze Ergänzung. Worauf bezieht sich die Option -s? Auf die IP im Internet von der ein Prog. Pakete erhält oder auf den Router, der dem, Rechner direkt "vorgeschaltet" ist?
 
bunter fisch schrieb:
Hallo

bunter fisch schrieb:
ich hab hier 2 Netzwerkschnittstellen am Rechner und möchte den Internettraffic mit iptables regeln...
Warum mit iptables?

bunter fisch schrieb:
Bestimmte Apps sollen nur über LAN ins Netz gehen, bestimmte nur über WLAN. Es sind getrennte DSL-Zugänge.
Fast alle "Apps" bieten per Konfiguration die Möglichkeit, sich an ein Netzwerk-Device zu binden.
Das kann sein mit Namen, wie z.B. eno1 oder mit der IP dieses devices.
Damit arbeitet die "App" nur mit diesem device und du hast genau das erreicht, was du willst.

bunter fisch schrieb:
Edit
Eine kurze Ergänzung. Worauf bezieht sich die Option -s? Auf die IP im Internet von der ein Prog. Pakete erhält oder auf den Router, der dem, Rechner direkt "vorgeschaltet" ist?
-s für source und ist die IP des Erzeugers eines Paketes, also die IP der Quelle.
Kommt das Paket vom Router selbst, dann ist es diese. Kommt das Paket von außen ÜBER den Router, dann ist es eine IP aus dem Internet.

Gruß
Gräfin Klara
 

spoensche

Moderator
Teammitglied
Anwendungen kannst du mit iptables nur mit dem Layer 7 Filter erlauben oder blockieren. Ohne den Layer 7 Filter wird das nichts.

Wenn du ein paar Informationen mehr bereitstellen könntest, z.B. um was für Anwendungen es sich handelt, welche Protokolle die Anwendungen verwenden usw., dann können wir dir genauere Tipps geben.
 
Oben