6
iptables blockt UDP-Traffic nicht
Hallo zusammen,
hier ist ein Netzwerk mit ca. 20 Clients und einem Debian Lenny-System, das als Router fungiert.
Über ppp1 ist das Ding mit dem Internet verbunden, eth0 ist die interne Schnittstelle.
Seit ein paar Tagen gibt es aber ein paar Spezialisten, die sich über TVU (soviel habe ich jetzt per Remote herausbekommen) gerne mal den einen oder anderen TV-Sender angucken, den es sonst hier nicht gibt.
Problem: Die ganze Leitung wird sowohl Download- als auch Upload-Technisch bis kurz vor Anschlag gefahren. VoIP hat trotz QoS gelegentlich Aussetzer und Internetseiten brauchen ewig zum Laden.
Alle netten Worte haben nichts geholfen, jetzt sollen böse iptables-Regeln folgen. Habe jetzt folgendes ausprobiert:
iptables -A OUTPUT -p UDP --dport 80 -j DROP
iptables -A OUTPUT -p UDP --sport 80 -j DROP
iptables -A INPUT -p UDP --dport 80 -j DROP
iptables -A INPUT -p UDP --sport 80 -j DROP
Laut iptraf läuft der gesamte Datenverkehr von TVU über Port 80 UDP. Und damit müsste ich das ja eigentlich blockieren können?
Aber trotz dieser Regel ist die Leitung weiterhin in beide Richtungen dicht und IPTraf meint auch, dass da noch eine ganze Menge läuft...
Selbst ein
iptables -A OUTPUT -s 192.168.0.xxx -j DROP
iptables -A INPUT -s 192.168.0.xxx -j DROP
hat keine Wirkung - und nach meinem Verständnis sollte damit der Client komplett abgetrennt sein...
Habt ihr eine Idee, was ich da gerade falsch mache?
Viele Grüße aus dem Tal
Max
Über ppp1 ist das Ding mit dem Internet verbunden, eth0 ist die interne Schnittstelle.
Seit ein paar Tagen gibt es aber ein paar Spezialisten, die sich über TVU (soviel habe ich jetzt per Remote herausbekommen) gerne mal den einen oder anderen TV-Sender angucken, den es sonst hier nicht gibt.
Problem: Die ganze Leitung wird sowohl Download- als auch Upload-Technisch bis kurz vor Anschlag gefahren. VoIP hat trotz QoS gelegentlich Aussetzer und Internetseiten brauchen ewig zum Laden.
Alle netten Worte haben nichts geholfen, jetzt sollen böse iptables-Regeln folgen. Habe jetzt folgendes ausprobiert:
iptables -A OUTPUT -p UDP --dport 80 -j DROP
iptables -A OUTPUT -p UDP --sport 80 -j DROP
iptables -A INPUT -p UDP --dport 80 -j DROP
iptables -A INPUT -p UDP --sport 80 -j DROP
Laut iptraf läuft der gesamte Datenverkehr von TVU über Port 80 UDP. Und damit müsste ich das ja eigentlich blockieren können?
Aber trotz dieser Regel ist die Leitung weiterhin in beide Richtungen dicht und IPTraf meint auch, dass da noch eine ganze Menge läuft...
Selbst ein
iptables -A OUTPUT -s 192.168.0.xxx -j DROP
iptables -A INPUT -s 192.168.0.xxx -j DROP
hat keine Wirkung - und nach meinem Verständnis sollte damit der Client komplett abgetrennt sein...
Habt ihr eine Idee, was ich da gerade falsch mache?
Viele Grüße aus dem Tal
Max
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 124785
Url: https://administrator.de/contentid/124785
Printed on: April 19, 2024 at 04:04 o'clock
6 Comments
Latest comment
Zitat von @LordGurke:
Alle netten Worte haben nichts geholfen, jetzt sollen böse
iptables-Regeln folgen. Habe jetzt folgendes ausprobiert:
Alle netten Worte haben nichts geholfen, jetzt sollen böse
iptables-Regeln folgen. Habe jetzt folgendes ausprobiert:
Habt ihr eine Idee, was ich da gerade falsch mache?
Hä ?
Chef - Gespräch - Kündigung ?
Wo ist da Dein Part ?
Hey!
Schau dir doch mal IPCop an, http://ww.ipcop.org
Hier kannst du deine Wünsch ganz bequem über ein Webinterface einstellen.
Tipps unter http://www.ipcop-forum.de
@BigWumpus:
Sorry, habe vergessen zu schreiben, dass das so eine Art WG ist. Da ist ein komplettes Haus - von oben bis unten voll mit Studenten - an einen 100MBit/s-Anschluss von Netcologne angeschlossen, aus dem effektiv 76MBit/s rauskommen, in die andere Richtung kommen die auf 10 MBit/s. Und wenn da auch nur zwei-drei Vollpfosten den Upload dicht machen wird es schon eng.
Hast aber Recht, am Arbeitsplatz wäre die betroffene Person gegangen worden
@stingermac:
Bevor da vor drei Wochen Lenny draufgekommen ist, war das auch ein IPCop-System. Mangels IPv6-Support und mangels der Fähigkeit, sich einigermaßen stabil über PPTP zu verbinden, mussten wir aber wechseln.
Habe den Fehler jetzt auch gefunden: Aus irgendeinem Grund war eine Regel gesetzt, die alles von 192.168.0.0/24 geacked hat, so dass meine Regeln garnicht mehr gegriffen haben.
Nächste Woche wird der Switch noch an den RS232-Port des "Routers" angeschlossen und wenn da nochmal jemand so ein Theater macht, wird eben der Port geshutted - Problem bereits auf Layer 1 gelöst
Sorry, habe vergessen zu schreiben, dass das so eine Art WG ist. Da ist ein komplettes Haus - von oben bis unten voll mit Studenten - an einen 100MBit/s-Anschluss von Netcologne angeschlossen, aus dem effektiv 76MBit/s rauskommen, in die andere Richtung kommen die auf 10 MBit/s. Und wenn da auch nur zwei-drei Vollpfosten den Upload dicht machen wird es schon eng.
Hast aber Recht, am Arbeitsplatz wäre die betroffene Person gegangen worden
@stingermac:
Bevor da vor drei Wochen Lenny draufgekommen ist, war das auch ein IPCop-System. Mangels IPv6-Support und mangels der Fähigkeit, sich einigermaßen stabil über PPTP zu verbinden, mussten wir aber wechseln.
Habe den Fehler jetzt auch gefunden: Aus irgendeinem Grund war eine Regel gesetzt, die alles von 192.168.0.0/24 geacked hat, so dass meine Regeln garnicht mehr gegriffen haben.
Nächste Woche wird der Switch noch an den RS232-Port des "Routers" angeschlossen und wenn da nochmal jemand so ein Theater macht, wird eben der Port geshutted - Problem bereits auf Layer 1 gelöst
Bessere Lösung wäre z.B. ein MikroTik-Router.
Der kann sowohl IPv6 als auch PPTP-Client.
Vorallem hat der aber einen PPPoE-Server, so dass du alle User zu einem Login zwingen kannst.
Das hat drei Vorteile: Du kannst leichter herausfinden, wer sich die Kinderpornos runtergeladen hat, du kannst die Datenraten von Haus aus beschränken und du hast die Möglichkeit accountbasierte Traffic-Statistiken zu machen.
Das in Kombination mit einem Switch der Port-Isolation kann (sowas benutzt du ja sicher jetzt schon, oder?) und du hast ein wesentlich besseres System.
Und wenn du an iptables hängst: Die Mikrotik-Firewall basiert auch auf netfilter und ist in der Konfiguration ziemlich ähnlich.
Grüße
Max
Der kann sowohl IPv6 als auch PPTP-Client.
Vorallem hat der aber einen PPPoE-Server, so dass du alle User zu einem Login zwingen kannst.
Das hat drei Vorteile: Du kannst leichter herausfinden, wer sich die Kinderpornos runtergeladen hat, du kannst die Datenraten von Haus aus beschränken und du hast die Möglichkeit accountbasierte Traffic-Statistiken zu machen.
Das in Kombination mit einem Switch der Port-Isolation kann (sowas benutzt du ja sicher jetzt schon, oder?) und du hast ein wesentlich besseres System.
Und wenn du an iptables hängst: Die Mikrotik-Firewall basiert auch auf netfilter und ist in der Konfiguration ziemlich ähnlich.
Grüße
Max
Die Idee mit PPPoE hatten wir auch schon, da wir aber schon einen ganz vernünftigen Cisco-Switch da stehen haben und der auch teuer genug war, haben wir erstmal davon abgelassen
Bis jetzt haben wir erstmal jede Wohnung (jeweils 3 Dosen) in ein eigenes VLAN gepackt, von dem lediglich das Gateway erreichbar ist.
Es stand mal die Idee mit 802.1x-Authentifizierung im Raum, da die Clients aber wirklich bunt gemischt sind und die Gefahr bestand, dass ein Drittel der Leute damit ausgesperrt wird, haben wir die Idee wieder verworfen.
Es ist aber derzeit ein L2TP-System (das kann ja eigentlich jeder billige Heim-Router) im Aufbau. Jeder hat dann genau eine Netzwerkdose in der Wohnung, an den darf er gerne einen Router und daran seine Clients anhängen. Einwahl und damit auch Authentifizierung über L2TP und Zuweisung einer eigenen öffentlichen IP (wir bekommen über einen Drittanbieter ein /27-Netz geroutet).
Auf dem Lenny-Router wurde jetzt durch einen Kollegen ein Layer7-Filter installiert, der das wohl zuverlässig abhalten soll. Da lasse ich mich jetzt gerne mal überraschen...
Bis jetzt haben wir erstmal jede Wohnung (jeweils 3 Dosen) in ein eigenes VLAN gepackt, von dem lediglich das Gateway erreichbar ist.
Es stand mal die Idee mit 802.1x-Authentifizierung im Raum, da die Clients aber wirklich bunt gemischt sind und die Gefahr bestand, dass ein Drittel der Leute damit ausgesperrt wird, haben wir die Idee wieder verworfen.
Es ist aber derzeit ein L2TP-System (das kann ja eigentlich jeder billige Heim-Router) im Aufbau. Jeder hat dann genau eine Netzwerkdose in der Wohnung, an den darf er gerne einen Router und daran seine Clients anhängen. Einwahl und damit auch Authentifizierung über L2TP und Zuweisung einer eigenen öffentlichen IP (wir bekommen über einen Drittanbieter ein /27-Netz geroutet).
Auf dem Lenny-Router wurde jetzt durch einen Kollegen ein Layer7-Filter installiert, der das wohl zuverlässig abhalten soll. Da lasse ich mich jetzt gerne mal überraschen...
Es ist aber derzeit ein L2TP-System (das kann ja eigentlich jeder billige Heim-Router) im Aufbau.
Also ich hab schon viele Router gesehen.
L2TP konnten nur sehr sehr wenige davon.
Nehmt lieber PPPoE - das kann wirklich jeder Router.
