IP Adressen freigeben

Hallo
Habe zwar schon gesucht aber im Forum nicht's gefunden.

Ich möchte in der SuSEfirewall2 gerne bestimmte IP Adressen (www) für den Rechner meiner Tochter freigeben und somit alle anderen sperren.
Aber nur für Ihren Rechner !

Hat jemand eine idee oder hinweis, wie oder wo das zu machen ist ?

Gruß aus Bremen

Moin malocher,

sowas geht am besten über iptables-regeln. Schau dir mal auf selflinux.org das Kapitel darüber an. Ist sehr verständlich geschrieben.

Danke Geier 0815
Ich werde mir das Dokument mal ansehen und mich melden.

Gruß aus Bremen

Hallo
Ich habe mir das Dokument mal angesehen, ist für einen Leien viel Stoff.
Leider verstehe ich das mit den iptables regeln nicht so ganz.
Gibt es nicht die möglichkeit es mit Adressen zu machen ?

Gruß malocher

SuSEFirewall kann das nicht (ich wüßte jedenfalls nicht wie). Über ein manuell gestricktes Firewallskript geht das.

Eine Alternative wäre Squid in Kombination mit SuSEFirewall so zu konfigurieren daß Squid das Filtern übernimmt. Dafür ist er ja da.

Ich sehe schon.
Das ist wohl doch nocht etwas zu kompliziert für mich.
Ich denke ich muß mir etwas anderes einfallen lassen.
Danke euch allen

Du gibst aber schnell auf - oder bist Du ungeduldig?

Man kann an die SuSEFirwall2 custom iptables Befehle aufnehmen und das ist eigentlich nicht schwer.
Solltest Du noch Interesse haben suche ich die Befehle mal zusammen und poste sie.

Allerdings halte ich die Idee Deine Tochter nur auf bestimmte Seiten zuzulassen nicht fuer gut. Das Internet ist zum suchen und lesen und erforschen da. Solltest Du Bedenken bzgl diverser 'ungeeigneter' Seiten haben, und die solltest Du haben - da gibt es auch subtilere Moeglichkeiten Seiten mit bestimmten Inhalt zu blocken (http://www.dansguardian.org)

Hallo framp
Nein schnell aufgeben tue ich nicht, habe ja meinen Srver auch zum Laufen bekommen !
Da ich mit Programmierung u.ä. nicht so klar komme muß es schon etwas einfacher sein, wenn es eine Lösung gibt die ich verstehe dann wird das auch gemacht, siehe oben.
Sei doch so nett und Poste die Befehle.
Meine Tochter soll das Netz durchforsten aber es gibt da so andere Probleme, weshalb nur einige Seiten. Sie sollte schon wissen was Sie macht.

Na dann. Probieren geht über Studieren. Zumindest bei mir !

Grüße aus Bremen

Moin malocher,

das Problem das Du hast ist so alt wie das Internet selber. Solltest Du eine wirklich gute Lösung finden, patentiere Sie so schnell Du kannst. Damit wirst Du echt reich. Bisher haben sich alle Ansätze, egal ob mit black- oder whitelist, als absolut unbefriedigend erwiesen. Das Einzige was Du machen kannst, ist ihr bei ihren ersten Schritten ins Internet zur Seite zu stehen, Sie darüber aufzuklären das es "Pfuibäh-Seiten" gibt und wie man damit umgeht und immer als Ansprechpartner für Sie da sein.

Moin
Klar stehe ich meiner Tochter bei. Mir machen weniger die Pfui Seiten sorgen (das macht sie eh bald selbst, wird ja auch Älter) als wie Extremistische Seiten u.ä.

Mal sehen wie sich der Vorschlag von framp entwickelt.

Gruß malocher

Nachfolgend die IPTABLES Befehle, die in /etc/sysconfi/scripts/SuSEfirewall2-custom nach fw_custom_before_denyall()eingegeben werden muessen. Ausserdem ist bei SuSEfirewall2 die Zeile mit FW_CUSTOMRULES zu aktivierten (# am Anfang entfernen). Technisch wird der gewuenschte Effekt erzielt. Ich wuerde aber trotzdem moeglichst bald andere Moeglichkeiten (squid, dansguardian, ...) nutzen und aktivieren. Dort gibt es wesentlich elegantere Filtermoeglichkeiten. Auch sind die Rules sehr restriktiv, d.h. je nach Anzahl von erlaubten IP Adressen kann die Liste sehr lang werden ... Sollten Weiterleitungen auf den Rechnern aktiv sein wird die Sache noch komplizierter. D.h. es ist so wirklich nur praktikabel in einem sehr engen Rahmen.

Uebrigens gibt es www.linuxbu.ch wo alles recht gut in Deutsch erklaert ist (Kapitel 14) 8)

Annahmen:
1) NAT wird benutzt und ist enabled (FW_MASQUERADE=yes)

# 1) erlaube verbindungsaufbau von [tochterip] mit [erlaubteip] mit http port 80
# Es kann auch --dport weggelassen werden. Dann koennen alle Ports von [erlaubteip] genutzt werden
iptables -A FORWARD -i eth0 -p tcp -s [tochterip] -o ppp0 -d [erlaubteip] --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT;
# 2) dns zulassen
iptables -A FORWARD -i eth0 -p tcp -s [tochterip] -o ppp0 -d [erlaubteip] --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT;
# 3) alle anderen verbindungsaufbauten von [tochterip] verbieten
iptables -A FORWARD -i eth0 -p tcp -s [tochterip] -o ppp0 -j REJECT;

Step 1 ist fuer jede erlaubte IP zu wiederholen. Wenn die IP allerdings einen anderen Port benutzt muss --dport entsprechend angepasst werden (z.B. 8080)

Diese Befehle wurden von mir nicht getestet - also bitte erst testen bevor den Rules vertraut wird!