Iptables blockera host till internet.

Diskussion kring säkerhet och nätverk.
Post Reply
xarator
Posts: 202
Joined: 22 August 2005, 19:00
Location: Skelleftea

Iptables blockera host till internet.

Post by xarator » 29 September 2010, 10:17

Jag har fått klagomål av min ISP att jag har en enhet som sänder massa UPnP paket som skapar problem för deras servrar. Enheten i fråga är en Popcorn Hour A-100. Vet inte varför detta skall vara något problem men tänkte jag kan lösa detta enkelt genom att blockera denna till internet.
Jag använder ett iptables script som är klippt och klistrat ihop. Så jag kan inte iptables själv. Så tänkte om någon kunde hjälpa mig här.
Host 192.168.0.50 skall ha kontakt med 192.168.0.0/24 och 172.16.1.0/30 men inget mer.
AMD Phenom 9850BE @ 2.8GHz
MSI K9N2 Diamond
MSI NX6600 256mb
4096 MB Corsair Dominator
Western Digital Raptor 150gb sys
Aplus Case Twin Engine
Gentoo Linux x86
KDE 4.3.3

User avatar
kjell-e
Posts: 2816
Joined: 21 December 2002, 16:27
Location: Linköping
Contact:

Re: Iptables blockera host till internet.

Post by kjell-e » 29 September 2010, 11:12

Du säger ingenting om hur ditt nät ser ut. Sitter dessa som ska kunna prata med varandra på varsin sida om brandväggsdatorn? Eller är den ena parten brandväggsdatorn?
Har brandväggsdatorn flera nätverksinterface? Når annan utrustning omvärlden via brandväggsdatorn?

xarator
Posts: 202
Joined: 22 August 2005, 19:00
Location: Skelleftea

Re: Iptables blockera host till internet.

Post by xarator » 29 September 2010, 11:29

Ursäkta att jag var lite otydligt. Tänkte mig inte riktigt för när jag skrev.

Jag har 192.168.0.1 som kör gateway och lite andra tjänster. På denna ligger iptables, dnsmasq, nfs m.m. Denna har wan och lan med dubbla interface. LAN har addresserna 172.16.1.1/30 och 192.168.0.1/24. Detta är sedan kopplat till AP och switch. Till switchen är PCH-A100 (192.168.0.50 ) ansluten och denna skickar ut väldigt mycket multicast som t.o.m har fått min ISP att klaga. Så tanken är att PCH-A100 endast skall få kontakt med LAN och övriga enheter i nätverket skall fortsätta ha kontakt som vanligt.

WAN --- Server ---- switch --- PCH-A100

Servern kör ett klippt och klistrat brandväggscript som skulle behöva göras om ordentligt men då jag har fullt upp just så får det vara som det är men det skall läggas till regler som begränsar 0.0.0.0 0.0.0.0 och tillåter 172.17.1.0/30 och 192.168.0.0/24.
Osäker på om Wildcardmask blir 0.0.0.0 men hoppas ni förstår vad jag menar.
AMD Phenom 9850BE @ 2.8GHz
MSI K9N2 Diamond
MSI NX6600 256mb
4096 MB Corsair Dominator
Western Digital Raptor 150gb sys
Aplus Case Twin Engine
Gentoo Linux x86
KDE 4.3.3

xarator
Posts: 202
Joined: 22 August 2005, 19:00
Location: Skelleftea

Re: Iptables blockera host till internet.

Post by xarator » 29 September 2010, 12:14

Med lite tips och modifieringar har jag kommit fram till detta.
Då jag ej är hemma just nu så kan jag passa på att fråga om detta ser rätt ut.

iptables -I INPUT -s 192.168.0.50 -d 172.16.1.0/30 -j ACCEPT
iptables -I INPUT -s 192.168.0.50 -d 192.168.0.0/24 -j ACCEPT
iptables -I INPUT -s 192.168.0.50 -j DROP
AMD Phenom 9850BE @ 2.8GHz
MSI K9N2 Diamond
MSI NX6600 256mb
4096 MB Corsair Dominator
Western Digital Raptor 150gb sys
Aplus Case Twin Engine
Gentoo Linux x86
KDE 4.3.3

User avatar
kjell-e
Posts: 2816
Joined: 21 December 2002, 16:27
Location: Linköping
Contact:

Re: Iptables blockera host till internet.

Post by kjell-e » 30 September 2010, 10:39

Det du vill göra är att se till att all utgående trafik från 192.168.0.50 spärras i din brandvägg. Du behöver en regel i FORWARD-kedjan som spärrar utgående trafik från 192.168.0.50.

Nu framgår det inte vad dina nätverksinterface heter i brandväggsdatorn men om vi antar att det som ansluter till ditt lokala nätverk heter eth0 och det som ansluter till omvärlden heter eth1 så kan du göra:

Code: Select all

iptables -I FORWARD -s 192.168.0.50  --in-interface eth0 -j DROP
Denna regel kastar allt utgående från 192.168.0.50 som kommer in via eth0 så att det inte kommer ut på eth1 (eller några andra nätverksinterface heller för den delen ifall du har flera).

Du kan läsa mer om hur iptables fungerar på mina sidor på http://www.lysator.liu.se/~kjell-e/tekla/linux/

Post Reply