jasonch
Goto Top

IP-Adresse oder Port im Netzwerk sperren (DD-WRT)

Ich habe einen DD-WRT Router und möchte gerne auf einfache Art und Weise (temporär) für alle internen und externen Benutzer im Netz speziele IP-Adressen ODER Ports sperren (sprich die Benutzer sollen für eine gewisse Zeit nicht auf ein anderes Gerät kommen, welches ich entweder per IP oder über den Port sperre).

Ich denke die einzige Möglichkeit auf meinem DD-WRT Router wäre über die iptables, doch leider habe ich bis jetzt nicht rausgefunden wie ich das aktivieren und wieder deaktivieren könnte (Mir fehlt das Knowhow von iptables und diverses rumprobieren hat mich nicht weitergebracht).

Kann mir jemand weiterhelfen? (auch eine nicht iptables Möglichkeit beim DD-WRT wäre super). Am allerbesten wäre es, wenn ich über ein PHP-Script diese Sperre aktivieren und wieder deaktivieren könnte!

Vielen Dank für alle Inputs & viele Grüsse,
Jason

Content-Key: 213743

Url: https://administrator.de/contentid/213743

Ausgedruckt am: 29.03.2024 um 01:03 Uhr

Mitglied: Dani
Dani 08.08.2013 um 14:31:14 Uhr
Goto Top
Moin,
in DD-WRT gibt es doch oben einen Reiter "Zugriffsbeschränkung". Dort kannst du IP-Adressen, Ports und Protokolle sperren.
Dort kannst du mit zwei Klicks die Richtlinie (de)aktivieren...


Grüße,
Dani
Mitglied: MrNetman
MrNetman 08.08.2013 um 14:34:09 Uhr
Goto Top
Hi Jason,

Aber, der Router kann nur zwischen internen und externen Adressen Regeln einbauen.
Interne Adressen werden ohne Router verbunden.

Gruß
Netman
Mitglied: jasonch
jasonch 08.08.2013 um 14:47:16 Uhr
Goto Top
Sali Netman

Genau, es müsste aber intern möglich sein...

Gruss Jason
Mitglied: 108012
108012 08.08.2013 um 14:56:59 Uhr
Goto Top
Hallo,

Genau, es müsste aber intern möglich sein...
Erzählst Du uns auch einmal warum oder besser wofür?

Gruß
Dobby
Mitglied: jasonch
jasonch 08.08.2013 aktualisiert um 15:17:12 Uhr
Goto Top
Sali Dobby

Ich möchte einfach dass gewisse Geräte (in meinem Fall sind es Kameras) kurzzeitig im Netz nicht erreichbar sind. Sprich, wenn ich nicht zuhause bin, möchte ich dass andere Personen die Cam sehen können und sonst nicht (bin ja nicht bei Big Brother *g*).

Die Cams laufen alle auf einer fixen IP und hinten ist immer noch ein anderer Port, also könnte ich die Cam per IP oder auch per Port sperren. Man sollte dann also weder von extern noch intern auf die Cam kommen.

Gruss Jason
Mitglied: aqui
aqui 09.08.2013 um 15:19:52 Uhr
Goto Top
Das geht problemlos über die Shell Konsole mit einem SSH Zugriff (Putty, TeraTerm) auf den DD-WRT.
Du musst nur die iptables entsprechend anpassen dort.
Diese Kommandos kannst du nachher beim DD-WRT in die Startup Konfig integrieren über das Webinterface so das diese Einstellungen nach einem Reboot erhalten bleiben.
Ist eigentlich eine Sache von 5 Minuten.
iptables Tutorials gibt es zuhauf im Netz:
http://64-bit.de/dokumentationen/netzwerk/e/002/DE-IPTABLES-HOWTO.html
http://www.online-tutorials.net/internet-netzwerk/iptables-tutorial/tut ...
usw.
oder direkt bei dd-wrt:
http://www.dd-wrt.com/wiki/index.php/Iptables
Dr. Google ist da wie immer dein Freund....
Mitglied: jasonch
jasonch 09.08.2013 aktualisiert um 16:12:11 Uhr
Goto Top
Hall aqui

Auf die "iptables" bin ich auch schon gekommen, natürlich habe ich mir auch schon diese Anleitungen angesehen, leider hat nur noch nichts geklappt, was ich ausprobiert hatte. Wenn Du also einen Tipp hast, mit welchem Befehl ich das bewerkstelligen kann, wäre ich Dir sehr dankbar face-smile

Eigentlich müsste ich es doch mit dieser Zeile bewekstelligen können?

iptables -I FORWARD -d 123.123.123.123 -j DROP

Vielen Dank & Gruss
Jason
Mitglied: aqui
aqui 09.08.2013 um 16:16:16 Uhr
Goto Top
Ja, das ist richtig, nur die Reihenfolge der Regel ist nicht trivial. Wenn du VOR dieser Regel schon mit "any" alles erlaubt hast greift die logischerweise nicht mehr ! (First match wins Regel !)
Achte also genau auf die Reihenfolge !
Was sagt denn ein
iptables -t filter -L
iptables -t nat -L
bei dir ?
Mitglied: jasonch
jasonch 09.08.2013 aktualisiert um 16:43:52 Uhr
Goto Top
Ich habe den Befehl bis anhin einfach im Webiterface auf dem DD-WRT eingegeben. Ich habe es nun mal per Telnet gemacht, hier klappt es:

iptables -I FORWARD -p tcp --dport 8053 -j DROP
und zum rückgängig machen
iptables -I FORWARD -p tcp --dport 8053 -j ACCEPT

(ich machs hier einfach über den Port, anstelle über die IP....)

Scheint zu stimmen? Jetzt muss ich nur noch eine Möglichkeit finden dies allenfalls über ein per Web erreichbares Webscript zu "aktivieren/deaktivieren", dann wärs perfekt face-smile
Mitglied: MrNetman
MrNetman 09.08.2013 um 18:49:16 Uhr
Goto Top
Mit Telnet ist es doch einfacher. Da übergibts du immer nur einen Text. Ist ja der Vorteil dieses einfachen Interfaces.

und dann bitte als gelöst markieren.
Mitglied: jasonch
jasonch 09.08.2013 um 20:28:33 Uhr
Goto Top
Jaein... einfach ja, aber mal so spontan über einen "Klick" via Handy nicht möglich, aber das "Hauptproblem" wäre somit gelöst, vielen Dank für die Hilfe und die Tipps!

Schönes Weekend & Gruss
Jason
Mitglied: MrNetman
MrNetman 10.08.2013 um 09:36:25 Uhr
Goto Top
Einem Symbol auf der Webseite kann man solchen Text, Funktionalität aber auch hinterlegen. Sind alles kleinste Tools, die man mittels Batch oder Script aufrufen kann.
Du bastelst ja doch an der Oberfläche um die Funktionalität zu erweitern.