Posted: Sun Sep 17, 2006 21:09 Post subject: [Access Restrictions] Machbarkeit
Hallo,
ich habe ff. mit Access Restrictions vor.
Anforderungen:
[1] standardmäßig darf niemand aus 10.10.10.2-254/24 Internetzugriff haben
[2] ich möchte entscheiden, welche IPs Internetzugriff haben
[3] Werbeblocker für alle (ausgewählte Werbung mittels Keywords sperren)
[4] P2P für alle nur in der Zeit von 0:00-7:00 Uhr möglich.
3. und 4. habe ich schon alleine hinbekommen. 1. und 2. auch alleine. Mein Problem liegt darin, dass ich nicht alles zusammen zum Laufen bekomme.
Meine Daten:
- WRT54GL v1.1
- v23 SP2 final special std. (09/13/06)
Access Restrictions Einstellungen:
#(5) PCs mit Internet und Werbeblocker => siehe 2. und 3.
- 24h, ALLOW
- 10.10.10.101-108
- Keywords: doubleclick.net, mediaplex.com, as1.falkag.de (jedes in einem Feld)
===========
#(7) kein Filesharing => siehe 4.
- 7:00-23:59, DENY
- 10.10.10.2-254
===========
#(9) kein Internet => siehe 1.
- 24h, DENY
- 10.10.10.2-254
Folgende Symptome:
- [RICHTIG] Internet funktioniert nur für freigeschaltete PCs
- [RICHTIG] Werbeblocker funzt
- [FALSCH] Filesharing geht leider :(
Vielleicht hat der eine oder andere eine Idee dazu? Geht das überhaupt so umzusetzen wie ich das möchte?
Grüße
SLCoolJ _________________ WRT54GL v1.1 | v23 SP2 special | @216MHz
|| z.Zt. Tomato Firmware v1.02.0931, wegen schönerem QoS und nützlichen Features
Joined: 06 Jun 2006 Posts: 7492 Location: Dresden, Germany
Posted: Sun Sep 17, 2006 22:06 Post subject:
schick mal den output von iptables -L hier ins forum _________________ "So you tried to use the computer and it started smoking? Sounds like a Mac to me.." - Louis Rossmann https://www.youtube.com/watch?v=eL_5YDRWqGE&t=60s
Kann es sein das du ein P2P Programm zum testen nimmst, was die Verbindungen verschlüsselt? Damit hatte ich nämlich auch meine Probleme, es lief und lief und lief. Bis ich die Verschlüsselungsoption mal auf off gesetzt hatte und schon griff die P2P Regel im Router und P2P war nicht mehr möglich.
@Lucky: ich habe P2P nur mit Azureus getestet. Erst war alles ruhig und in den Incomming-LOGs kamen Anfragen auf "Azureus-Port" und die wurden DENIED
@BrainSlayer: anbei die Ausgabe von iptables -L (ist ein bissl viel, ich habe die Ausgabe in einer Zeile mal umgebrochen, weil es sonst das Layout im Forum zerstört :-)
Code:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:1723
ACCEPT gre -- anywhere anywhere
DROP udp -- anywhere anywhere udp dpt:route
DROP udp -- anywhere anywhere udp dpt:route
ACCEPT udp -- anywhere anywhere udp dpt:route
logaccept tcp -- anywhere wAP.universum tcp dpt:222
logdrop icmp -- anywhere anywhere
logdrop igmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW
logaccept all -- anywhere anywhere state NEW
logdrop all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT gre -- 10.10.10.0/24 anywhere
ACCEPT tcp -- 10.10.10.0/24 anywhere tcp dpt:1723
ACCEPT all -- anywhere anywhere
logdrop all -- anywhere anywhere state INVALID
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN tcpmss match 1453:65535 TCPMSS set 1452
lan2wan all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
TRIGGER all -- anywhere anywhere TRIGGER type:in match:0 relate:0
trigger_out all -- anywhere anywhere
logaccept all -- anywhere anywhere state NEW
logdrop all -- anywhere anywhere
Ich weiß schon garnicht mehr ob das in den Logs bevor oder nach dem ich paar Änderungen gemacht habe Stand. Ich überprüfe das noch mal. _________________ WRT54GL v1.1 | v23 SP2 special | @216MHz
|| z.Zt. Tomato Firmware v1.02.0931, wegen schönerem QoS und nützlichen Features
Ich habe gerade Azureus testweise angeschmissen und ff. bemerkt.
[INCOMMING]
- hier wird alles was auf dem Azureus-Port ankommt DENIED
[OUTGOING]
- komischerweise sobald ich Azureus anmache kommen hier unzählige Verbindungen UDP, die ACCEPTED werden. Azureus fängt auch nach ner Weile an zu ziehen.
Hmm.... dann werde ich mir das mit der Verschlüsselungsoption mal ansehen. Vielleicht wirds dann besser. _________________ WRT54GL v1.1 | v23 SP2 special | @216MHz
|| z.Zt. Tomato Firmware v1.02.0931, wegen schönerem QoS und nützlichen Features
Ok, da muss BrainSlayer was zu sagen ob die UDP Pakete auch gefiltert werden. Aber eins weiß ich, der Azureus ist eh nen komisches Tool, springt gerne mal über Firewalls drüber weg. ;(