ip-adressen mit ipcop bannen

#1 Hallo

Ich verwende IPcop 1.3 als Firewall mit Rot/Grün Konfiguration.
Nun möchte ich 1. (wie in http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopFAQ#Can_I_block_annoying_ads_ beschrieben) verschiedene ad-server blocken. Ich habe die Liste der Server nach /etc/hosts kopiert und auf 0.0.0.0 geleitet, kann aber leider immer noch auf die Server zugreifen. Der Proxyserver ist nicht aktiviert.

Und 2. möchte ich folgendes Script ausführen: http://www.flashdance.cx/files/rc.firewall.riaa Nach dem ausführen kann ich aber leider immer noch mit den aufgeführten Adressen kommunizieren. Muss ich da bei IPcop etwas spezielles beachten, wenn ich bestimmte IP-Adressen bannen will?

Besten Dank für Antworten

#2 1.)Leite es einmal nach 127.0.0.1 um

2.) Sollte eigentlich funktionieren.
Hast du deinen IPcop neu gestartet und die rc.fire* nicht im runlevel eingebunden?

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#3 Danke, mit 127.0.0.1 gehts Aber jetzt noch ne andere frage, wenn ich beispielsweise xyz.de sperre geht das zwar, aber abc.xyz.de ist wieder zugreiffbar. wie kann ich komplette domains sperren?

zu 2) vielleicht hab ich auch etwas falsch verstanden... sperrt das scribt die volle kommunikation zwischen den angegebenen ips und mir oder nur den zugriff von den ips zu mir?

#4 Nur den Zugriff zu dir.

-I INPUT

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#5 sorry für meine fragen, bin aber völliger firewall anfänger

wenn also der zugriff zu mir auf 123.123.123.123 (wie in dem script)gesperrt wird, kann ich ihn dann noch pingen? weil der host antwortet mir ja irgendwie... oder ist ping was ganz anderes?

#6 Du solltest die IP per icmp pingen können, aber eine Antwort darf nicht ankommen.

per tcpdump kannst du dies einfach nachprüfen

ngrep icmp ist auch nett

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#7 wenn ich auf dem ipcop-pc 'iptables -I INPUT -p all -s 193.99.144.71 -d any/0 -j DROP' eingebe, bekomm ich von 193.99.144.71 keine antwort mehr. von jedem pc im grünen netz bekomm ich aber noch antworten auf ein ping 193.99.144.71. erlaubt ipcop also solche verbindungen, wenn sie von einem internen pc gewünscht sind?

#8 @xartal

iptables -A INPUT -s 193.99.144.71 -j DROP

Das ist der richtige Befehl für den netfilter, ist nicht ipcop bindend.

Die Gründe sind:

-I fügt die kette vorne rein
-A hängt die kette hinten an

Außerdem brauchst du weder -p noch -d zu nutzen weil du mit -s die ip ja sowieso schon vollkommen blockst. Dann das wichtigste ist OUTPUT demnach kannst du nicht mehr diese ip erreichen wenn die ip allerdings dich nicht erreichen soll dann stimmt natürlich INPUT. Allerdings sieht INPUT in dem falle schon richtig aus da ja keiner deiner clients diese ip erreichen soll.

MFG
Xeper
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#9 Müsste das interne Netz nicht mit 'FORWARD' gefiltert werden? Ist bei meinem router jedenfalls so...

#10 Hmm nun ja klar iptables -A FORWARD -s _ip_ -j DROP funktioniert auch. Aber zusätzlich noch INPUT am besten beides
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#11 besten dank für die hilfe!

kennt jemand von euch eine gute (am besten deutschsprachige) iptables infoseite?

#12 man iptables:

Zitat

COMPATIBILITY WITH IPCHAINS
This iptables is very similar to ipchains by Rusty Rus­
sell. The main difference is that the chains INPUT and
OUTPUT are only traversed for packets coming into the
local host and originating from the local host respec­
tively. Hence every packet only passes through one of the
three chains; previously a forwarded packet would pass
through all three.

Also geht es nur mit FORWARD, jedenfalls bei iptables, sofern es nur um weitergeleitete Packete geht. Sollen auch vom router generierte Packete dahingehend gefiltert werden, müssen die selben Regeln auch in INPUT gesetzt werden.

#13 @xartal

Naja man iptables reicht doch oder

Nein also schau mal hier: http://www.pl-forum.de/t_netzwerk/iptables.html

@lagalopex

Stimmt Pakete die weitergeleitet werden müssen kommen erst gar nicht in die INPUT chain.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#14 danke, genau so eine seite suchte ich.