• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Ubuntu Server 20.10 mit dnsmasq als Router und IP Filter

Hallo Leute,

ich bin in Linux noch nicht so begabt, deshalb verzeiht mir wenn irgendetwas nicht ganz zusammen passt.

Ich habe einen Ubuntu 20.10 Server mit 2 Netzwerkkarten (enp1s0 und enp4s0).

enp1s0 ist die Netzwerkkarte die mit der FritzBox verbunden ist.
enp4s0 ist die Netzwerkkarte auf der mein Switch für das Locale Lan hängt.

Mit dnsmasq habe ich einen DNS und DHCP Server realisiert. Dieser funktioniert auch einwandfrei.

Jetzt aber zu meinem Problem. Ich möchte gerne IP Adressen und nicht nur Domains blocken.

Domains kann man ja ganz bequem mit der Blocklist von dnsmasq blockieren.


Aber wenn ich IP Adressen über die IPTables sperren möchte, werden diese Regeln ignoriert. Ich kann sie aus dem gesamten Lan anpingen oder aufrufen.


Gibt es eine andere Möglichkeit um Ip Adressen zu sperren oder muss dnsmasq konfiguriert werden um die IpTables nicht zu ignorieren.


Hoffe auf eure Hilfe.


Grüße Toolmaster
 

susejunky

Moderator
Teammitglied
Hallo Toolmaster,
Toolmaster schrieb:
... Ich möchte gerne IP Adressen und nicht nur Domains blocken.
Möchtest Du eingehende Verbindungen (von einer bestimmten IP-Adresse) oder ausgehende Verbindungen (zu einer bestimmten IP-Adresse) blockieren?


Toolmaster schrieb:
... Domains kann man ja ganz bequem mit der Blocklist von dnsmasq blockieren.
Nun das ist so nicht ganz richtig. dnsmasq fungiert als DHCP- und DNS- Server.

Als DNS-Server nimmt es Anfragen mit FQDNs entgegen und liefert dem Anfragenden die zugehörige IP-Adresse zurückt. Durch die Verwendung von Blocklists kannst Du zwar dem Anfragenden für bestimmte FQDNs eine von Dir bestimmte ("falsche") IP-Adresse zurückgeben aber das "blockiert" den FQDN nur bedingt.

Verwendet ein Benutzer in Deinem LAN einen anderen DNS-Server (z.B. wenn er Firefox mit DoH einsetzt), dann kann er gar wohl noch auf den FQDN zugreifen.

Als DHCP-Server weist dnsmasq den Geräten in Deinem LAN eine IP-Adresse zu (und liefert ggf. auch die Adresse eines DNS-Servers an den Client) aber beides verhindert nicht, dass ein Benutzer aus Deinem LAN heraus auf einen bestimmten FQDN zugreifen kann.


Toolmaster schrieb:
... Aber wenn ich IP Adressen über die IPTables sperren möchte, werden diese Regeln ignoriert. Ich kann sie aus dem gesamten Lan anpingen oder aufrufen.
Soweit mir bekannt blockieren die Linux-Firewalls standardmäßig nur eingehende Datenverbindungen; d.h. aus dem Netzwerk zu einer Serveranwendung auf dem Rechner, auf dem die Firewall aktiv ist. Das Blockieren ausgehender Verbindungen (d.h. von einem Rechner zu einer bestimmten IP-Adresse) ist meines Wissens zwar machbar aber nicht trivial.

Da ich ausschließlich openSUSE verwende kann ich Dir leider keine Ubuntu-spezifischen Details geben. Aber es wird sich sicherlich ein anderes Forums-Mitglied finden ...

Viele Grüße

susejunky
 
Oben