Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

iptables blockt UDP-Traffic nicht

Frage Netzwerke Netzwerkmanagement

Mitglied: LordGurke

LordGurke (Level 2) - Jetzt verbinden

12.09.2009 um 20:04 Uhr, 4997 Aufrufe, 6 Kommentare

Hallo zusammen,

hier ist ein Netzwerk mit ca. 20 Clients und einem Debian Lenny-System, das als Router fungiert.
Über ppp1 ist das Ding mit dem Internet verbunden, eth0 ist die interne Schnittstelle.

Seit ein paar Tagen gibt es aber ein paar Spezialisten, die sich über TVU (soviel habe ich jetzt per Remote herausbekommen) gerne mal den einen oder anderen TV-Sender angucken, den es sonst hier nicht gibt.
Problem: Die ganze Leitung wird sowohl Download- als auch Upload-Technisch bis kurz vor Anschlag gefahren. VoIP hat trotz QoS gelegentlich Aussetzer und Internetseiten brauchen ewig zum Laden.

Alle netten Worte haben nichts geholfen, jetzt sollen böse iptables-Regeln folgen. Habe jetzt folgendes ausprobiert:

iptables -A OUTPUT -p UDP --dport 80 -j DROP
iptables -A OUTPUT -p UDP --sport 80 -j DROP
iptables -A INPUT -p UDP --dport 80 -j DROP
iptables -A INPUT -p UDP --sport 80 -j DROP


Laut iptraf läuft der gesamte Datenverkehr von TVU über Port 80 UDP. Und damit müsste ich das ja eigentlich blockieren können?
Aber trotz dieser Regel ist die Leitung weiterhin in beide Richtungen dicht und IPTraf meint auch, dass da noch eine ganze Menge läuft...
Selbst ein

iptables -A OUTPUT -s 192.168.0.xxx -j DROP
iptables -A INPUT -s 192.168.0.xxx -j DROP

hat keine Wirkung - und nach meinem Verständnis sollte damit der Client komplett abgetrennt sein...


Habt ihr eine Idee, was ich da gerade falsch mache?


Viele Grüße aus dem Tal
Max
Mitglied: BigWumpus
13.09.2009 um 00:05 Uhr
Zitat von LordGurke:
Alle netten Worte haben nichts geholfen, jetzt sollen böse
iptables-Regeln folgen. Habe jetzt folgendes ausprobiert:


Habt ihr eine Idee, was ich da gerade falsch mache?


Hä ?

Chef - Gespräch - Kündigung ?
Wo ist da Dein Part ?
Bitte warten ..
Mitglied: kopie0123
13.09.2009 um 03:12 Uhr
Zitat von LordGurke:
einem Debian
Lenny-System, das als Router fungiert.


Hey!

Schau dir doch mal IPCop an, http://ww.ipcop.org

Hier kannst du deine Wünsch ganz bequem über ein Webinterface einstellen.

Tipps unter http://www.ipcop-forum.de
Bitte warten ..
Mitglied: LordGurke
13.09.2009 um 13:45 Uhr
@BigWumpus:
Sorry, habe vergessen zu schreiben, dass das so eine Art WG ist. Da ist ein komplettes Haus - von oben bis unten voll mit Studenten - an einen 100MBit/s-Anschluss von Netcologne angeschlossen, aus dem effektiv 76MBit/s rauskommen, in die andere Richtung kommen die auf 10 MBit/s. Und wenn da auch nur zwei-drei Vollpfosten den Upload dicht machen wird es schon eng.
Hast aber Recht, am Arbeitsplatz wäre die betroffene Person gegangen worden

@StingerMac:
Bevor da vor drei Wochen Lenny draufgekommen ist, war das auch ein IPCop-System. Mangels IPv6-Support und mangels der Fähigkeit, sich einigermaßen stabil über PPTP zu verbinden, mussten wir aber wechseln.


Habe den Fehler jetzt auch gefunden: Aus irgendeinem Grund war eine Regel gesetzt, die alles von 192.168.0.0/24 geacked hat, so dass meine Regeln garnicht mehr gegriffen haben.
Nächste Woche wird der Switch noch an den RS232-Port des "Routers" angeschlossen und wenn da nochmal jemand so ein Theater macht, wird eben der Port geshutted - Problem bereits auf Layer 1 gelöst
Bitte warten ..
Mitglied: dog
13.09.2009 um 15:28 Uhr
Bessere Lösung wäre z.B. ein MikroTik-Router.
Der kann sowohl IPv6 als auch PPTP-Client.
Vorallem hat der aber einen PPPoE-Server, so dass du alle User zu einem Login zwingen kannst.
Das hat drei Vorteile: Du kannst leichter herausfinden, wer sich die Kinderpornos runtergeladen hat, du kannst die Datenraten von Haus aus beschränken und du hast die Möglichkeit accountbasierte Traffic-Statistiken zu machen.
Das in Kombination mit einem Switch der Port-Isolation kann (sowas benutzt du ja sicher jetzt schon, oder?) und du hast ein wesentlich besseres System.
Und wenn du an iptables hängst: Die Mikrotik-Firewall basiert auch auf netfilter und ist in der Konfiguration ziemlich ähnlich.

Grüße

Max
Bitte warten ..
Mitglied: LordGurke
13.09.2009 um 21:30 Uhr
Die Idee mit PPPoE hatten wir auch schon, da wir aber schon einen ganz vernünftigen Cisco-Switch da stehen haben und der auch teuer genug war, haben wir erstmal davon abgelassen

Bis jetzt haben wir erstmal jede Wohnung (jeweils 3 Dosen) in ein eigenes VLAN gepackt, von dem lediglich das Gateway erreichbar ist.
Es stand mal die Idee mit 802.1x-Authentifizierung im Raum, da die Clients aber wirklich bunt gemischt sind und die Gefahr bestand, dass ein Drittel der Leute damit ausgesperrt wird, haben wir die Idee wieder verworfen.

Es ist aber derzeit ein L2TP-System (das kann ja eigentlich jeder billige Heim-Router) im Aufbau. Jeder hat dann genau eine Netzwerkdose in der Wohnung, an den darf er gerne einen Router und daran seine Clients anhängen. Einwahl und damit auch Authentifizierung über L2TP und Zuweisung einer eigenen öffentlichen IP (wir bekommen über einen Drittanbieter ein /27-Netz geroutet).

Auf dem Lenny-Router wurde jetzt durch einen Kollegen ein Layer7-Filter installiert, der das wohl zuverlässig abhalten soll. Da lasse ich mich jetzt gerne mal überraschen...
Bitte warten ..
Mitglied: dog
13.09.2009 um 22:37 Uhr
Es ist aber derzeit ein L2TP-System (das kann ja eigentlich jeder billige Heim-Router) im Aufbau.

Also ich hab schon viele Router gesehen.
L2TP konnten nur sehr sehr wenige davon.
Nehmt lieber PPPoE - das kann wirklich jeder Router.
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
gelöst DCs sehr viele UDP-Verbindungen zur Firewall (5)

Frage von watchdogg zum Thema Netzwerkgrundlagen ...

Linux Netzwerk
gelöst Server mit iptables absichern (9)

Frage von laster zum Thema Linux Netzwerk ...

Router & Routing
UDP 4500 von ISP für eine einzige Adresse geblockt? (6)

Frage von MaHeula zum Thema Router & Routing ...

Batch & Shell
gelöst IPTABLES Regeln ersetzten (4)

Frage von SpeakerST zum Thema Batch & Shell ...

Neue Wissensbeiträge
Windows Server

Umstellung SHA 1 auf SHA 2 - Migration der CA von CSP auf KSP

Tipp von Badger zum Thema Windows Server ...

Windows 10

Quato DTP94 unter Windows 10 x64 installieren und verwenden

Anleitung von anteNope zum Thema Windows 10 ...

Windows 10

Win10 1703 und Nutzerkennwörter bei Ersteinrichtung - erstaunliche Erkenntnis

(15)

Erfahrungsbericht von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 im Unternehmen? (26)

Frage von zorlayan zum Thema Windows 10 ...

Festplatten, SSD, Raid
Raid 1 2 SSD mit Windows Server 2016 (17)

Frage von jaywee zum Thema Festplatten, SSD, Raid ...

Voice over IP
Über Fritzfax over IP gehen nur einige Faxe (12)

Frage von shearer9 zum Thema Voice over IP ...