Hallo,
irgendwie komme ich mit meinem Problem nicht weiter. Ich möchte folgendes:
Bestimmte externe IPs sollen für ein PC im LAN gesperrt sein. Hintergrund: Ich möchte den Betrieb von ICQ unterbinden. Hier gab es einen Thread der sich mit dem Thema schon befasste, wo jedoch aufgegeben worden ist.
Mein Gedankengang: Ich kenne aufrund der DENY_ALL_REGEL die IPs mit denen das Chatprogramm kommuniziert. Leider wird hier die Verbindung über Port 80 hergstellt. Der PC soll aber weiterhin sein Internet haben.
Ich hatte die IPs unter TCP/IP - DNS-Filter aufgeführt. Das funktioniert nicht, da hier wohl nur die Namensauflösung unterbunden werden soll. Stimmt das?
Weiterhin hatte ich eine Regel DENY_ICQ in der Firewall eingefügt, wo diese externen IPs in "Verbindsziel" stehen. Aber hier komme ich nicht weiter. Wenn diese Regel greift, dann kommt die nächste weiter unten, die besagt, dass Internet zur Gegenstelle T-ONLNE erlaubt ist. Andersherum genauso: Steht die Regel ERLAUBE_HTTP vor der DENY_ICQ, dann scheint die darunter stehende Regel DENY_ICQ nicht mehr zu greifen.
Hierzu noch mal eine Frage: Was ist eigentllich der Unterscheid zwischen Zurückweisen und verwerfen?
Bestimmte externe IPs sperren
Moderator: Lancom-Systems Moderatoren
Re: Bestimmte externe IPs sperren
Hallo,
Normalerweise sollte das gehen, wenn du die IPs (der verbotenen Stationen) als Ziele einträgst.
Eventuell mal mit den Prioritäten spielen...
Zurückweisen
Quelle: Intarnet-Station
Ziel: Internet-IPs
Gilt für alle Dienste u. Protokolle
oder...
Quell-Ports: - (freilassen)
Ziel-Ports: 80 (http)
Kannst du nochmal aufschlüsseln, wie du die beiden regeln angelegt hast.Regel DENY_ICQ ... Regel ERLAUBE_HTTP
Normalerweise sollte das gehen, wenn du die IPs (der verbotenen Stationen) als Ziele einträgst.
Eventuell mal mit den Prioritäten spielen...
Zurückweisen
Quelle: Intarnet-Station
Ziel: Internet-IPs
Gilt für alle Dienste u. Protokolle
oder...
Quell-Ports: - (freilassen)
Ziel-Ports: 80 (http)
Gruß
Jens
...online mit 1793VAW
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Jens
...online mit 1793VAW
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
So jetzt bin ich schlauer:
Es funktioniert! Warum lief es nicht vorher? Das hatte 2 Gründe:
Der erste Grund, ich hatte mir das mit den Regeln in der Theorie überlegt aber wohl nicht praktisch ausprobiert (das war dumm!).
Der zeite Grund, ich war der Meinung alle IPs zu kennen. War aber doch nicht so. Es fehlten noch einige.
Ich habe die Regeln mit DENY_ICQ1, 2 etc mit höherer Prioiät gesetzt. Also als Quelle meine lokale LAN-IP und als Ziel die externen ICQ-IPs. Da ICQ doch viele Server hat, habe ich sie in Blöcken in einer Regel zusammengefasst. Was an IPs dazwischen liegt, ist mir ehrllich gesagt egal.
Bei mir hat ICQ drei DENY Regeln. Erst dahinter kommt die ALLOW für Internet allgemein. Und das funktioniert auch. Glaube ich zumindest, denn ICQ habe ich ca. 5 Minuten Zeit gelassen um sich einzuloggen.
Hier für alle Interssierten meine IPs die ich für ICQ 5.1 lite gesperrt habe:
DENY_ICQ_1
205.188.153.121 (Port 443, 5190)
205.188.179.233 (Port 80)
205.188.248.197 (Port 80)
205.188.248.198 (Port 80)
205.188.248.199 (Port 80)
205.188.248.208 (Port 80)
205.188.248.209 (Port 80)
205.188.248.210 (Port 80)
DENY_ICQ_2
64.12.161.185 Port 443)
64.12.163.132
64.12.163.134
64.12.163.136
64.12.164.55 (Port 80)
64.12.200.89 (Port 5190)
DENY_ICQ_3
193.159.189.199 (Port 80)
Beispiel: In der Regel DENY_ICQ_2 habe ich in Verbindungsziel den Bereich von 64.12.161.185 - 64.12.200.89 eingetragen. Wahrscheinlich werden ein paar Interentseiten nicht angezeigt werden, aber das dürfte hier wohl vernachlässigbar sein. Ansonsten müsste man mit deutlich mehr Regeln arbeiten.
Analog solllte das mit allen Chatprogrammen und auch Tauschbörsen funktionieren. Ich denke mal es besteht dort immer Bedarf solche Seiten zu sperren.
Es ist nicht ganz einfach an alle Ports zu kommen. Ich denke da hilt die Funktions mit Hyper Terminal weiter. Einfach alles verbieten und dann das Chatprogramm starten und alle Logs der Firewall in einer Textdatei aufzeichnen und auswerten.
Es funktioniert! Warum lief es nicht vorher? Das hatte 2 Gründe:
Der erste Grund, ich hatte mir das mit den Regeln in der Theorie überlegt aber wohl nicht praktisch ausprobiert (das war dumm!).
Der zeite Grund, ich war der Meinung alle IPs zu kennen. War aber doch nicht so. Es fehlten noch einige.
Ich habe die Regeln mit DENY_ICQ1, 2 etc mit höherer Prioiät gesetzt. Also als Quelle meine lokale LAN-IP und als Ziel die externen ICQ-IPs. Da ICQ doch viele Server hat, habe ich sie in Blöcken in einer Regel zusammengefasst. Was an IPs dazwischen liegt, ist mir ehrllich gesagt egal.
Bei mir hat ICQ drei DENY Regeln. Erst dahinter kommt die ALLOW für Internet allgemein. Und das funktioniert auch. Glaube ich zumindest, denn ICQ habe ich ca. 5 Minuten Zeit gelassen um sich einzuloggen.
Hier für alle Interssierten meine IPs die ich für ICQ 5.1 lite gesperrt habe:
DENY_ICQ_1
205.188.153.121 (Port 443, 5190)
205.188.179.233 (Port 80)
205.188.248.197 (Port 80)
205.188.248.198 (Port 80)
205.188.248.199 (Port 80)
205.188.248.208 (Port 80)
205.188.248.209 (Port 80)
205.188.248.210 (Port 80)
DENY_ICQ_2
64.12.161.185 Port 443)
64.12.163.132
64.12.163.134
64.12.163.136
64.12.164.55 (Port 80)
64.12.200.89 (Port 5190)
DENY_ICQ_3
193.159.189.199 (Port 80)
Beispiel: In der Regel DENY_ICQ_2 habe ich in Verbindungsziel den Bereich von 64.12.161.185 - 64.12.200.89 eingetragen. Wahrscheinlich werden ein paar Interentseiten nicht angezeigt werden, aber das dürfte hier wohl vernachlässigbar sein. Ansonsten müsste man mit deutlich mehr Regeln arbeiten.
Analog solllte das mit allen Chatprogrammen und auch Tauschbörsen funktionieren. Ich denke mal es besteht dort immer Bedarf solche Seiten zu sperren.
Es ist nicht ganz einfach an alle Ports zu kommen. Ich denke da hilt die Funktions mit Hyper Terminal weiter. Einfach alles verbieten und dann das Chatprogramm starten und alle Logs der Firewall in einer Textdatei aufzeichnen und auswerten.
Hi,
verwerfen ist silent, d.h. der Absender erhaelt keine Rueckinfo, was mit dem Paket erfolgt ist.
Zurueckweisen, heißt, dass der Abesender mittels ICMP-Meldung dadrueber informiert wird, dass das Paket blockiert wurde.
verwerfen ist silent, d.h. der Absender erhaelt keine Rueckinfo, was mit dem Paket erfolgt ist.
Zurueckweisen, heißt, dass der Abesender mittels ICMP-Meldung dadrueber informiert wird, dass das Paket blockiert wurde.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Ja, das passt schon!RalphT hat geschrieben:....Erst dahinter kommt die ALLOW für Internet allgemein. Und das funktioniert auch. Glaube ich zumindest...
Die Tabelle wird von oben beginnend durchgearbeitet und wenn eine matchende Regel, für IP, Dienst u. Protokoll gefunden wurde, wird diese auf das Paket angewendet.
Die Regeln, die weiter unten stehen, kommen dann nicht mehr zur Anwendung
Gruß
Jens
...online mit 1793VAW
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Jens
...online mit 1793VAW
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Hallo RalphT,
Ansonsten weiß ich nicht ob Deine Regeln wirklich langfristig das gewünschte tun. Wenn ich mal eben in die Verbindungsliste meines Routers schaue, dann sind da über ICQ Verbindungen zu folgenden IPs aufgebaut:
205.188.9.125
205.188.9.124
64.12.24.86
64.12.29.76
64.12.25.97
205.188.1.140
205.188.10.165
Und die fallen wahrscheinlich nicht in Deine Regeln ...
Viele Grüße,
Jirka
Ja. Und zwar für alle Rechner oder nur für die in dem aufgeführten Adressbereich.Ich hatte die IPs unter TCP/IP - DNS-Filter aufgeführt. Das funktioniert nicht, da hier wohl nur die Namensauflösung unterbunden werden soll. Stimmt das?
Ansonsten weiß ich nicht ob Deine Regeln wirklich langfristig das gewünschte tun. Wenn ich mal eben in die Verbindungsliste meines Routers schaue, dann sind da über ICQ Verbindungen zu folgenden IPs aufgebaut:
205.188.9.125
205.188.9.124
64.12.24.86
64.12.29.76
64.12.25.97
205.188.1.140
205.188.10.165
Und die fallen wahrscheinlich nicht in Deine Regeln ...
Viele Grüße,
Jirka
Es wird zumindest nicht leicht werden. Ich hatte ICQ ca. 10 Minuten lang Zeit gegeben um sich einzuloggen. Die gesammelten IPs habe ich mir notiert. Aber das Beispiel von Jirka zeigt, dass wohl doch noch ein paar IPs durchrutschen.
Ich werde aber trotzdem die Sperrung nächste Woche in Angriff nehmen. Wahrscheinlich werde ich das mit den 3 Bereichen realisieren. Es werden wohl ein paar Internetseiten sich nicht erreichen lassen, aber vielleicht fällt es ja nicht auf.
Dann werde ich mit parallel dazu alle Logs von dem bestimmten Rechner in einer Textdatei aufzeichnen und das Ganze mal in nächster Zeit beobachten.
Wenn der User 5 mal probiert hat, wird er wohl eh aufgeben. Ich hoffe zumindest.
Schwieriger stelle ich mit die Sperrung von Tauschbörsen vor. Dort wird ja wirklich viel mit privaten Rechnern gearbeitet.
Dazu noch mal eine Frage:
Wie sieht es mit dynamischen IPs aus (dyndns.org). Kann man solche IPs auch sperren? In der Zeile kann man ja nur IPs eingeben, oder?
Ich werde aber trotzdem die Sperrung nächste Woche in Angriff nehmen. Wahrscheinlich werde ich das mit den 3 Bereichen realisieren. Es werden wohl ein paar Internetseiten sich nicht erreichen lassen, aber vielleicht fällt es ja nicht auf.
Dann werde ich mit parallel dazu alle Logs von dem bestimmten Rechner in einer Textdatei aufzeichnen und das Ganze mal in nächster Zeit beobachten.
Wenn der User 5 mal probiert hat, wird er wohl eh aufgeben. Ich hoffe zumindest.
Schwieriger stelle ich mit die Sperrung von Tauschbörsen vor. Dort wird ja wirklich viel mit privaten Rechnern gearbeitet.
Dazu noch mal eine Frage:
Wie sieht es mit dynamischen IPs aus (dyndns.org). Kann man solche IPs auch sperren? In der Zeile kann man ja nur IPs eingeben, oder?
Das ist garnicht so schwer, denn wenn du eine DENY-ALL-Strategie fährst, dann sind die Ports zu emule & Co. gesperrt und müssten erst freigeschaltet werden.Schwieriger stelle ich mit die Sperrung von Tauschbörsen vor. Dort wird ja wirklich viel mit privaten Rechnern gearbeitet.
Wenn aber nur simples http, ftp etc. erlaubt ist, dann müsste Filesharing schon über diese ports laufen, was zwar generell möglich wäre, jedoch selten benutzt wird.
Übrigens, wenn du komplette Portranges sperren willst...
Ich benutze hierzu die whois-Abfrage bei http://clez.net/net.whois
Gruß
Jens
...online mit 1793VAW
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Jens
...online mit 1793VAW
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Hallo RalphT,
> Wie sieht es mit dynamischen IPs aus (dyndns.org). Kann man solche IPs auch sperren?
Natürlich kann man auch die Auflösung von name.dyndns.org unterbinden ...
> In der Zeile kann man ja nur IPs eingeben, oder?
In welcher Zeile bist Du? Im DNS-Filter? Da trägt man dann den Namen ein, also im Beispiel name.dyndns.org. Wenn Du, wie ich oben schon schrieb, keine IP einträgst ist die Auflösung dieses Namens für alle Rechner gesperrt.
> dann müsste Filesharing schon über diese ports laufen, was zwar generell möglich wäre, jedoch selten benutzt wird.
Na ja, da gibt es auch gegenteilige Erfahrungen ...
Viele Grüße,
Jirka
> Wie sieht es mit dynamischen IPs aus (dyndns.org). Kann man solche IPs auch sperren?
Natürlich kann man auch die Auflösung von name.dyndns.org unterbinden ...
> In der Zeile kann man ja nur IPs eingeben, oder?
In welcher Zeile bist Du? Im DNS-Filter? Da trägt man dann den Namen ein, also im Beispiel name.dyndns.org. Wenn Du, wie ich oben schon schrieb, keine IP einträgst ist die Auflösung dieses Namens für alle Rechner gesperrt.
> dann müsste Filesharing schon über diese ports laufen, was zwar generell möglich wäre, jedoch selten benutzt wird.
Na ja, da gibt es auch gegenteilige Erfahrungen ...
Viele Grüße,
Jirka