iptables blockt UDP-Traffic nicht
Hallo zusammen,
hier ist ein Netzwerk mit ca. 20 Clients und einem Debian Lenny-System, das als Router fungiert.
Über ppp1 ist das Ding mit dem Internet verbunden, eth0 ist die interne Schnittstelle.
Seit ein paar Tagen gibt es aber ein paar Spezialisten, die sich über TVU (soviel habe ich jetzt per Remote herausbekommen) gerne mal den einen oder anderen TV-Sender angucken, den es sonst hier nicht gibt.
Problem: Die ganze Leitung wird sowohl Download- als auch Upload-Technisch bis kurz vor Anschlag gefahren. VoIP hat trotz QoS gelegentlich Aussetzer und Internetseiten brauchen ewig zum Laden.
Alle netten Worte haben nichts geholfen, jetzt sollen böse iptables-Regeln folgen. Habe jetzt folgendes ausprobiert:
iptables -A OUTPUT -p UDP --dport 80 -j DROP
iptables -A OUTPUT -p UDP --sport 80 -j DROP
iptables -A INPUT -p UDP --dport 80 -j DROP
iptables -A INPUT -p UDP --sport 80 -j DROP
Laut iptraf läuft der gesamte Datenverkehr von TVU über Port 80 UDP. Und damit müsste ich das ja eigentlich blockieren können?
Aber trotz dieser Regel ist die Leitung weiterhin in beide Richtungen dicht und IPTraf meint auch, dass da noch eine ganze Menge läuft...
Selbst ein
iptables -A OUTPUT -s 192.168.0.xxx -j DROP
iptables -A INPUT -s 192.168.0.xxx -j DROP
hat keine Wirkung - und nach meinem Verständnis sollte damit der Client komplett abgetrennt sein...
Habt ihr eine Idee, was ich da gerade falsch mache?
Viele Grüße aus dem Tal
Max
Über ppp1 ist das Ding mit dem Internet verbunden, eth0 ist die interne Schnittstelle.
Seit ein paar Tagen gibt es aber ein paar Spezialisten, die sich über TVU (soviel habe ich jetzt per Remote herausbekommen) gerne mal den einen oder anderen TV-Sender angucken, den es sonst hier nicht gibt.
Problem: Die ganze Leitung wird sowohl Download- als auch Upload-Technisch bis kurz vor Anschlag gefahren. VoIP hat trotz QoS gelegentlich Aussetzer und Internetseiten brauchen ewig zum Laden.
Alle netten Worte haben nichts geholfen, jetzt sollen böse iptables-Regeln folgen. Habe jetzt folgendes ausprobiert:
iptables -A OUTPUT -p UDP --dport 80 -j DROP
iptables -A OUTPUT -p UDP --sport 80 -j DROP
iptables -A INPUT -p UDP --dport 80 -j DROP
iptables -A INPUT -p UDP --sport 80 -j DROP
Laut iptraf läuft der gesamte Datenverkehr von TVU über Port 80 UDP. Und damit müsste ich das ja eigentlich blockieren können?
Aber trotz dieser Regel ist die Leitung weiterhin in beide Richtungen dicht und IPTraf meint auch, dass da noch eine ganze Menge läuft...
Selbst ein
iptables -A OUTPUT -s 192.168.0.xxx -j DROP
iptables -A INPUT -s 192.168.0.xxx -j DROP
hat keine Wirkung - und nach meinem Verständnis sollte damit der Client komplett abgetrennt sein...
Habt ihr eine Idee, was ich da gerade falsch mache?
Viele Grüße aus dem Tal
Max
Please also mark the comments that contributed to the solution of the article
Content-Key: 124785
Url: https://administrator.de/contentid/124785
Printed on: April 19, 2024 at 04:04 o'clock
6 Comments
Latest comment
Zitat von @LordGurke:
Alle netten Worte haben nichts geholfen, jetzt sollen böse
iptables-Regeln folgen. Habe jetzt folgendes ausprobiert:
Alle netten Worte haben nichts geholfen, jetzt sollen böse
iptables-Regeln folgen. Habe jetzt folgendes ausprobiert:
Habt ihr eine Idee, was ich da gerade falsch mache?
Hä ?
Chef - Gespräch - Kündigung ?
Wo ist da Dein Part ?
Hey!
Schau dir doch mal IPCop an, http://ww.ipcop.org
Hier kannst du deine Wünsch ganz bequem über ein Webinterface einstellen.
Tipps unter http://www.ipcop-forum.de
Bessere Lösung wäre z.B. ein MikroTik-Router.
Der kann sowohl IPv6 als auch PPTP-Client.
Vorallem hat der aber einen PPPoE-Server, so dass du alle User zu einem Login zwingen kannst.
Das hat drei Vorteile: Du kannst leichter herausfinden, wer sich die Kinderpornos runtergeladen hat, du kannst die Datenraten von Haus aus beschränken und du hast die Möglichkeit accountbasierte Traffic-Statistiken zu machen.
Das in Kombination mit einem Switch der Port-Isolation kann (sowas benutzt du ja sicher jetzt schon, oder?) und du hast ein wesentlich besseres System.
Und wenn du an iptables hängst: Die Mikrotik-Firewall basiert auch auf netfilter und ist in der Konfiguration ziemlich ähnlich.
Grüße
Max
Der kann sowohl IPv6 als auch PPTP-Client.
Vorallem hat der aber einen PPPoE-Server, so dass du alle User zu einem Login zwingen kannst.
Das hat drei Vorteile: Du kannst leichter herausfinden, wer sich die Kinderpornos runtergeladen hat, du kannst die Datenraten von Haus aus beschränken und du hast die Möglichkeit accountbasierte Traffic-Statistiken zu machen.
Das in Kombination mit einem Switch der Port-Isolation kann (sowas benutzt du ja sicher jetzt schon, oder?) und du hast ein wesentlich besseres System.
Und wenn du an iptables hängst: Die Mikrotik-Firewall basiert auch auf netfilter und ist in der Konfiguration ziemlich ähnlich.
Grüße
Max