ip-adressen mit ipcop bannen

#0
22.07.2003, 12:11
...neu hier

Beiträge: 7
#1 Hallo

Ich verwende IPcop 1.3 als Firewall mit Rot/Grün Konfiguration.
Nun möchte ich 1. (wie in http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopFAQ#Can_I_block_annoying_ads_ beschrieben) verschiedene ad-server blocken. Ich habe die Liste der Server nach /etc/hosts kopiert und auf 0.0.0.0 geleitet, kann aber leider immer noch auf die Server zugreifen. Der Proxyserver ist nicht aktiviert.

Und 2. möchte ich folgendes Script ausführen: http://www.flashdance.cx/files/rc.firewall.riaa Nach dem ausführen kann ich aber leider immer noch mit den aufgeführten Adressen kommunizieren. Muss ich da bei IPcop etwas spezielles beachten, wenn ich bestimmte IP-Adressen bannen will?

Besten Dank für Antworten
Seitenanfang Seitenende
22.07.2003, 15:15
Ehrenmitglied

Beiträge: 831
#2 1.)Leite es einmal nach 127.0.0.1 um ;)

2.) Sollte eigentlich funktionieren.
Hast du deinen IPcop neu gestartet und die rc.fire* nicht im runlevel eingebunden?

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de
Seitenanfang Seitenende
22.07.2003, 16:48
...neu hier

Themenstarter

Beiträge: 7
#3 Danke, mit 127.0.0.1 gehts;) Aber jetzt noch ne andere frage, wenn ich beispielsweise xyz.de sperre geht das zwar, aber abc.xyz.de ist wieder zugreiffbar. wie kann ich komplette domains sperren?

zu 2) vielleicht hab ich auch etwas falsch verstanden... sperrt das scribt die volle kommunikation zwischen den angegebenen ips und mir oder nur den zugriff von den ips zu mir?
Seitenanfang Seitenende
22.07.2003, 17:37
Ehrenmitglied

Beiträge: 831
Seitenanfang Seitenende
22.07.2003, 18:24
...neu hier

Themenstarter

Beiträge: 7
#5 sorry für meine fragen, bin aber völliger firewall anfänger;)

wenn also der zugriff zu mir auf 123.123.123.123 (wie in dem script)gesperrt wird, kann ich ihn dann noch pingen? weil der host antwortet mir ja irgendwie... oder ist ping was ganz anderes?
Seitenanfang Seitenende
22.07.2003, 18:30
Ehrenmitglied

Beiträge: 831
#6 Du solltest die IP per icmp pingen können, aber eine Antwort darf nicht ankommen.

per tcpdump kannst du dies einfach nachprüfen

ngrep icmp ist auch nett

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de
Seitenanfang Seitenende
22.07.2003, 18:47
...neu hier

Themenstarter

Beiträge: 7
#7 wenn ich auf dem ipcop-pc 'iptables -I INPUT -p all -s 193.99.144.71 -d any/0 -j DROP' eingebe, bekomm ich von 193.99.144.71 keine antwort mehr. von jedem pc im grünen netz bekomm ich aber noch antworten auf ein ping 193.99.144.71. erlaubt ipcop also solche verbindungen, wenn sie von einem internen pc gewünscht sind?
Seitenanfang Seitenende
23.07.2003, 02:43
Member
Avatar Xeper

Beiträge: 5291
#8 @xartal

iptables -A INPUT -s 193.99.144.71 -j DROP

Das ist der richtige Befehl für den netfilter, ist nicht ipcop bindend.

Die Gründe sind:

-I fügt die kette vorne rein
-A hängt die kette hinten an

Außerdem brauchst du weder -p noch -d zu nutzen weil du mit -s die ip ja sowieso schon vollkommen blockst. Dann das wichtigste ist OUTPUT demnach kannst du nicht mehr diese ip erreichen wenn die ip allerdings dich nicht erreichen soll dann stimmt natürlich INPUT. Allerdings sieht INPUT in dem falle schon richtig aus da ja keiner deiner clients diese ip erreichen soll.

MFG
Xeper
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
23.07.2003, 04:36
Member

Beiträge: 15
#9 Müsste das interne Netz nicht mit 'FORWARD' gefiltert werden? Ist bei meinem router jedenfalls so...
Dieser Beitrag wurde am 23.07.2003 um 04:49 Uhr von lagalopex editiert.
Seitenanfang Seitenende
23.07.2003, 12:22
Member
Avatar Xeper

Beiträge: 5291
#10 Hmm nun ja klar iptables -A FORWARD -s _ip_ -j DROP funktioniert auch. Aber zusätzlich noch INPUT am besten beides ;)
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
23.07.2003, 14:33
...neu hier

Themenstarter

Beiträge: 7
#11 besten dank für die hilfe!

kennt jemand von euch eine gute (am besten deutschsprachige) iptables infoseite?
Seitenanfang Seitenende
23.07.2003, 18:07
Member

Beiträge: 15
#12 man iptables:

Zitat

COMPATIBILITY WITH IPCHAINS
This iptables is very similar to ipchains by Rusty Rus­
sell. The main difference is that the chains INPUT and
OUTPUT are only traversed for packets coming into the
local host and originating from the local host respec­
tively. Hence every packet only passes through one of the
three chains; previously a forwarded packet would pass
through all three.

Also geht es nur mit FORWARD, jedenfalls bei iptables, sofern es nur um weitergeleitete Packete geht. Sollen auch vom router generierte Packete dahingehend gefiltert werden, müssen die selben Regeln auch in INPUT gesetzt werden.
Dieser Beitrag wurde am 23.07.2003 um 18:09 Uhr von lagalopex editiert.
Seitenanfang Seitenende
23.07.2003, 19:21
Member
Avatar Xeper

Beiträge: 5291
#13 @xartal

Naja man iptables reicht doch oder ;)

Nein also schau mal hier: http://www.pl-forum.de/t_netzwerk/iptables.html

@lagalopex

Stimmt Pakete die weitergeleitet werden müssen kommen erst gar nicht in die INPUT chain.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
24.07.2003, 11:09
...neu hier

Themenstarter

Beiträge: 7
#14 danke, genau so eine seite suchte ich.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: