DD-WRT :: View topic - [Access Restrictions] Machbarkeit

[Access Restrictions] Machbarkeit

DD-WRT Forum Index -> Broadcom SoC basierende Hardware

View previous topic :: View next topic

Author

Message

SLCoolJ
DD-WRT Novice

Joined: 04 Sep 2006
Posts: 20
Location: Papstdorf / Königstein / Dresden / Germany

Posted: Sun Sep 17, 2006 21:09 Post subject: [Access Restrictions] Machbarkeit

Hallo,

ich habe ff. mit Access Restrictions vor.

Anforderungen:
[1] standardmäßig darf niemand aus 10.10.10.2-254/24 Internetzugriff haben
[2] ich möchte entscheiden, welche IPs Internetzugriff haben
[3] Werbeblocker für alle (ausgewählte Werbung mittels Keywords sperren)
[4] P2P für alle nur in der Zeit von 0:00-7:00 Uhr möglich.

3. und 4. habe ich schon alleine hinbekommen. 1. und 2. auch alleine. Mein Problem liegt darin, dass ich nicht alles zusammen zum Laufen bekomme.

Meine Daten:
- WRT54GL v1.1
- v23 SP2 final special std. (09/13/06)

Access Restrictions Einstellungen:
#(5) PCs mit Internet und Werbeblocker => siehe 2. und 3.
- 24h, ALLOW
- 10.10.10.101-108
- Keywords: doubleclick.net, mediaplex.com, as1.falkag.de (jedes in einem Feld)
===========
#(7) kein Filesharing => siehe 4.
- 7:00-23:59, DENY
- 10.10.10.2-254
===========
#(9) kein Internet => siehe 1.
- 24h, DENY
- 10.10.10.2-254

Folgende Symptome:
- [RICHTIG] Internet funktioniert nur für freigeschaltete PCs
- [RICHTIG] Werbeblocker funzt
- [FALSCH] Filesharing geht leider :(

Vielleicht hat der eine oder andere eine Idee dazu? Geht das überhaupt so umzusetzen wie ich das möchte?

Grüße
SLCoolJ
_________________
WRT54GL v1.1 | v23 SP2 special | @216MHz
|| z.Zt. Tomato Firmware v1.02.0931, wegen schönerem QoS und nützlichen Features

Sponsor

BrainSlayer
Site Admin

Joined: 06 Jun 2006
Posts: 7492
Location: Dresden, Germany

Posted: Sun Sep 17, 2006 22:06 Post subject:
schick mal den output von iptables -L hier ins forum _________________ "So you tried to use the computer and it started smoking? Sounds like a Mac to me.." - Louis Rossmann https://www.youtube.com/watch?v=eL_5YDRWqGE&t=60s

Lucky
DD-WRT User

Joined: 14 Jun 2006
Posts: 198

Posted: Mon Sep 18, 2006 5:10 Post subject:
Kann es sein das du ein P2P Programm zum testen nimmst, was die Verbindungen verschlüsselt? Damit hatte ich nämlich auch meine Probleme, es lief und lief und lief. Bis ich die Verschlüsselungsoption mal auf off gesetzt hatte und schon griff die P2P Regel im Router und P2P war nicht mehr möglich. Lucky

SLCoolJ
DD-WRT Novice

Joined: 04 Sep 2006
Posts: 20
Location: Papstdorf / Königstein / Dresden / Germany

Posted: Mon Sep 18, 2006 7:28 Post subject:

@Lucky: ich habe P2P nur mit Azureus getestet. Erst war alles ruhig und in den Incomming-LOGs kamen Anfragen auf "Azureus-Port" und die wurden DENIED

@BrainSlayer: anbei die Ausgabe von iptables -L (ist ein bissl viel, ich habe die Ausgabe in einer Zeile mal umgebrochen, weil es sonst das Layout im Forum zerstört :-)

Code:

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:1723
ACCEPT gre -- anywhere anywhere
DROP udp -- anywhere anywhere udp dpt:route
DROP udp -- anywhere anywhere udp dpt:route
ACCEPT udp -- anywhere anywhere udp dpt:route
logaccept tcp -- anywhere wAP.universum tcp dpt:222
logdrop icmp -- anywhere anywhere
logdrop igmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW
logaccept all -- anywhere anywhere state NEW
logdrop all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT gre -- 10.10.10.0/24 anywhere
ACCEPT tcp -- 10.10.10.0/24 anywhere tcp dpt:1723
ACCEPT all -- anywhere anywhere
logdrop all -- anywhere anywhere state INVALID
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN tcpmss match 1453:65535 TCPMSS set 1452
lan2wan all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
TRIGGER all -- anywhere anywhere TRIGGER type:in match:0 relate:0
trigger_out all -- anywhere anywhere
logaccept all -- anywhere anywhere state NEW
logdrop all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain advgrp_1 (0 references)
target prot opt source destination

Chain advgrp_10 (0 references)
target prot opt source destination

Chain advgrp_2 (0 references)
target prot opt source destination

Chain advgrp_3 (0 references)
target prot opt source destination

Chain advgrp_4 (0 references)
target prot opt source destination

Chain advgrp_5 (10 references)
target prot opt source destination
logreject tcp -- anywhere anywhere tcp WEBSTR match url
### ====== das ist normal 1 Zeile ====== ###
doubleclick.net< >mediaplex.com< >as1.falkag.de< >tfag.de
< >64.158.223.128< >popularix.com
< >ivwbox.de< >intellitxt.com< >
### /====== das ist normal 1 Zeile ====== ###
logaccept all -- anywhere anywhere

Chain advgrp_6 (0 references)
target prot opt source destination

Chain advgrp_7 (0 references)
target prot opt source destination
logdrop tcp -- anywhere anywhere ipp2p v0.8.1_rc1 --ipp2p
logaccept all -- anywhere anywhere

Chain advgrp_8 (0 references)
target prot opt source destination

Chain advgrp_9 (0 references)
target prot opt source destination
logaccept all -- anywhere anywhere

Chain grp_1 (0 references)
target prot opt source destination

Chain grp_10 (0 references)
target prot opt source destination

Chain grp_2 (0 references)
target prot opt source destination

Chain grp_3 (0 references)
target prot opt source destination

Chain grp_4 (0 references)
target prot opt source destination

Chain grp_5 (1 references)
target prot opt source destination
advgrp_5 all -- saturn.universum anywhere
advgrp_5 all -- 10.10.10.240 anywhere
advgrp_5 all -- 10.10.10.101 anywhere
advgrp_5 all -- mars.universum/31 anywhere
advgrp_5 all -- venus.universum/30 anywhere
advgrp_5 all -- 10.10.10.108 anywhere
advgrp_5 all -- 10.10.10.201 anywhere
advgrp_5 all -- 10.10.10.202/31 anywhere
advgrp_5 all -- 10.10.10.204/30 anywhere
advgrp_5 all -- 10.10.10.208 anywhere

Chain grp_6 (0 references)
target prot opt source destination

Chain grp_7 (1 references)
target prot opt source destination
logdrop all -- 10.10.10.2/31 anywhere
logdrop all -- 10.10.10.4/30 anywhere
logdrop all -- 10.10.10.8/29 anywhere
logdrop all -- 10.10.10.16/28 anywhere
logdrop all -- 10.10.10.32/27 anywhere
logdrop all -- 10.10.10.64/26 anywhere
logdrop all -- 10.10.10.128/26 anywhere
logdrop all -- 10.10.10.192/27 anywhere
logdrop all -- 10.10.10.224/28 anywhere
logdrop all -- 10.10.10.240/29 anywhere
logdrop all -- 10.10.10.248/30 anywhere
logdrop all -- 10.10.10.252/31 anywhere
logdrop all -- 10.10.10.254 anywhere

Chain grp_8 (0 references)
target prot opt source destination

Chain grp_9 (1 references)
target prot opt source destination
logdrop all -- 10.10.10.2/31 anywhere
logdrop all -- 10.10.10.4/30 anywhere
logdrop all -- 10.10.10.8/29 anywhere
logdrop all -- 10.10.10.16/28 anywhere
logdrop all -- 10.10.10.32/27 anywhere
logdrop all -- 10.10.10.64/26 anywhere
logdrop all -- 10.10.10.128/26 anywhere
logdrop all -- 10.10.10.192/27 anywhere
logdrop all -- 10.10.10.224/28 anywhere
logdrop all -- 10.10.10.240/29 anywhere
logdrop all -- 10.10.10.248/30 anywhere
logdrop all -- 10.10.10.252/31 anywhere
logdrop all -- 10.10.10.254 anywhere

Chain lan2wan (1 references)
target prot opt source destination
grp_5 all -- anywhere anywhere
grp_7 all -- anywhere anywhere
grp_9 all -- anywhere anywhere

Chain logaccept (6 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `ACCEPT '
ACCEPT all -- anywhere anywhere

Chain logdrop (32 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `DROP '
LOG all -- anywhere anywhere state INVALID LOG level warning tcp-sequence tcp-options ip-options prefix `DROP '
DROP all -- anywhere anywhere

Chain logreject (1 references)
target prot opt source destination
LOG all -- anywhere anywhere LOG level warning tcp-sequence tcp-options ip-options prefix `WEBDROP '
REJECT tcp -- anywhere anywhere tcp reject-with tcp-reset

Chain trigger_out (1 references)
target prot opt source destination

_________________
WRT54GL v1.1 | v23 SP2 special | @216MHz
|| z.Zt. Tomato Firmware v1.02.0931, wegen schönerem QoS und nützlichen Features

Lucky
DD-WRT User

Joined: 14 Jun 2006
Posts: 198

Posted: Mon Sep 18, 2006 14:45 Post subject:

Quote:

@Lucky: ich habe P2P nur mit Azureus getestet. Erst war alles ruhig und in den Incomming-LOGs kamen Anfragen auf "Azureus-Port" und die wurden DENIED

Wenn sie Denied wurden, dann werden sie doch geblockt, oder verstehe ich die Frage nicht?

Lucky

SLCoolJ
DD-WRT Novice

Joined: 04 Sep 2006
Posts: 20
Location: Papstdorf / Königstein / Dresden / Germany

Posted: Mon Sep 18, 2006 15:37 Post subject:
Ich weiß schon garnicht mehr ob das in den Logs bevor oder nach dem ich paar Änderungen gemacht habe Stand. Ich überprüfe das noch mal. _________________ WRT54GL v1.1 \| v23 SP2 special \| @216MHz \|\| z.Zt. Tomato Firmware v1.02.0931, wegen schönerem QoS und nützlichen Features

SLCoolJ
DD-WRT Novice

Joined: 04 Sep 2006
Posts: 20
Location: Papstdorf / Königstein / Dresden / Germany

Posted: Mon Sep 18, 2006 17:00 Post subject:

OK, bin nun wieder zu Hause.

Ich habe gerade Azureus testweise angeschmissen und ff. bemerkt.

[INCOMMING]
- hier wird alles was auf dem Azureus-Port ankommt DENIED

[OUTGOING]
- komischerweise sobald ich Azureus anmache kommen hier unzählige Verbindungen UDP, die ACCEPTED werden. Azureus fängt auch nach ner Weile an zu ziehen.

Hmm.... dann werde ich mir das mit der Verschlüsselungsoption mal ansehen. Vielleicht wirds dann besser.
_________________
WRT54GL v1.1 | v23 SP2 special | @216MHz
|| z.Zt. Tomato Firmware v1.02.0931, wegen schönerem QoS und nützlichen Features

Lucky
DD-WRT User

Joined: 14 Jun 2006
Posts: 198

Posted: Mon Sep 18, 2006 17:02 Post subject:
Ok, da muss BrainSlayer was zu sagen ob die UDP Pakete auch gefiltert werden. Aber eins weiß ich, der Azureus ist eh nen komisches Tool, springt gerne mal über Firewalls drüber weg. ;( Lucky

Display posts from previous:

Page 1 of 1

DD-WRT Forum Index -> Broadcom SoC basierende Hardware

All times are GMT

Navigation

Jump to:

You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You can attach files in this forum
You can download files in this forum

Log in

[Access Restrictions] Machbarkeit

Quick Links

Log in