Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

iptables blockt UDP-Traffic nicht

Frage Netzwerke Netzwerkmanagement

Mitglied: LordGurke

LordGurke (Level 2) - Jetzt verbinden

12.09.2009 um 20:04 Uhr, 5007 Aufrufe, 6 Kommentare

Hallo zusammen,

hier ist ein Netzwerk mit ca. 20 Clients und einem Debian Lenny-System, das als Router fungiert.
Über ppp1 ist das Ding mit dem Internet verbunden, eth0 ist die interne Schnittstelle.

Seit ein paar Tagen gibt es aber ein paar Spezialisten, die sich über TVU (soviel habe ich jetzt per Remote herausbekommen) gerne mal den einen oder anderen TV-Sender angucken, den es sonst hier nicht gibt.
Problem: Die ganze Leitung wird sowohl Download- als auch Upload-Technisch bis kurz vor Anschlag gefahren. VoIP hat trotz QoS gelegentlich Aussetzer und Internetseiten brauchen ewig zum Laden.

Alle netten Worte haben nichts geholfen, jetzt sollen böse iptables-Regeln folgen. Habe jetzt folgendes ausprobiert:

iptables -A OUTPUT -p UDP --dport 80 -j DROP
iptables -A OUTPUT -p UDP --sport 80 -j DROP
iptables -A INPUT -p UDP --dport 80 -j DROP
iptables -A INPUT -p UDP --sport 80 -j DROP


Laut iptraf läuft der gesamte Datenverkehr von TVU über Port 80 UDP. Und damit müsste ich das ja eigentlich blockieren können?
Aber trotz dieser Regel ist die Leitung weiterhin in beide Richtungen dicht und IPTraf meint auch, dass da noch eine ganze Menge läuft...
Selbst ein

iptables -A OUTPUT -s 192.168.0.xxx -j DROP
iptables -A INPUT -s 192.168.0.xxx -j DROP

hat keine Wirkung - und nach meinem Verständnis sollte damit der Client komplett abgetrennt sein...


Habt ihr eine Idee, was ich da gerade falsch mache?


Viele Grüße aus dem Tal
Max
Mitglied: BigWumpus
13.09.2009 um 00:05 Uhr
Zitat von LordGurke:
Alle netten Worte haben nichts geholfen, jetzt sollen böse
iptables-Regeln folgen. Habe jetzt folgendes ausprobiert:


Habt ihr eine Idee, was ich da gerade falsch mache?


Hä ?

Chef - Gespräch - Kündigung ?
Wo ist da Dein Part ?
Bitte warten ..
Mitglied: kopie0123
13.09.2009 um 03:12 Uhr
Zitat von LordGurke:
einem Debian
Lenny-System, das als Router fungiert.


Hey!

Schau dir doch mal IPCop an, http://ww.ipcop.org

Hier kannst du deine Wünsch ganz bequem über ein Webinterface einstellen.

Tipps unter http://www.ipcop-forum.de
Bitte warten ..
Mitglied: LordGurke
13.09.2009 um 13:45 Uhr
@BigWumpus:
Sorry, habe vergessen zu schreiben, dass das so eine Art WG ist. Da ist ein komplettes Haus - von oben bis unten voll mit Studenten - an einen 100MBit/s-Anschluss von Netcologne angeschlossen, aus dem effektiv 76MBit/s rauskommen, in die andere Richtung kommen die auf 10 MBit/s. Und wenn da auch nur zwei-drei Vollpfosten den Upload dicht machen wird es schon eng.
Hast aber Recht, am Arbeitsplatz wäre die betroffene Person gegangen worden

@StingerMac:
Bevor da vor drei Wochen Lenny draufgekommen ist, war das auch ein IPCop-System. Mangels IPv6-Support und mangels der Fähigkeit, sich einigermaßen stabil über PPTP zu verbinden, mussten wir aber wechseln.


Habe den Fehler jetzt auch gefunden: Aus irgendeinem Grund war eine Regel gesetzt, die alles von 192.168.0.0/24 geacked hat, so dass meine Regeln garnicht mehr gegriffen haben.
Nächste Woche wird der Switch noch an den RS232-Port des "Routers" angeschlossen und wenn da nochmal jemand so ein Theater macht, wird eben der Port geshutted - Problem bereits auf Layer 1 gelöst
Bitte warten ..
Mitglied: dog
13.09.2009 um 15:28 Uhr
Bessere Lösung wäre z.B. ein MikroTik-Router.
Der kann sowohl IPv6 als auch PPTP-Client.
Vorallem hat der aber einen PPPoE-Server, so dass du alle User zu einem Login zwingen kannst.
Das hat drei Vorteile: Du kannst leichter herausfinden, wer sich die Kinderpornos runtergeladen hat, du kannst die Datenraten von Haus aus beschränken und du hast die Möglichkeit accountbasierte Traffic-Statistiken zu machen.
Das in Kombination mit einem Switch der Port-Isolation kann (sowas benutzt du ja sicher jetzt schon, oder?) und du hast ein wesentlich besseres System.
Und wenn du an iptables hängst: Die Mikrotik-Firewall basiert auch auf netfilter und ist in der Konfiguration ziemlich ähnlich.

Grüße

Max
Bitte warten ..
Mitglied: LordGurke
13.09.2009 um 21:30 Uhr
Die Idee mit PPPoE hatten wir auch schon, da wir aber schon einen ganz vernünftigen Cisco-Switch da stehen haben und der auch teuer genug war, haben wir erstmal davon abgelassen

Bis jetzt haben wir erstmal jede Wohnung (jeweils 3 Dosen) in ein eigenes VLAN gepackt, von dem lediglich das Gateway erreichbar ist.
Es stand mal die Idee mit 802.1x-Authentifizierung im Raum, da die Clients aber wirklich bunt gemischt sind und die Gefahr bestand, dass ein Drittel der Leute damit ausgesperrt wird, haben wir die Idee wieder verworfen.

Es ist aber derzeit ein L2TP-System (das kann ja eigentlich jeder billige Heim-Router) im Aufbau. Jeder hat dann genau eine Netzwerkdose in der Wohnung, an den darf er gerne einen Router und daran seine Clients anhängen. Einwahl und damit auch Authentifizierung über L2TP und Zuweisung einer eigenen öffentlichen IP (wir bekommen über einen Drittanbieter ein /27-Netz geroutet).

Auf dem Lenny-Router wurde jetzt durch einen Kollegen ein Layer7-Filter installiert, der das wohl zuverlässig abhalten soll. Da lasse ich mich jetzt gerne mal überraschen...
Bitte warten ..
Mitglied: dog
13.09.2009 um 22:37 Uhr
Es ist aber derzeit ein L2TP-System (das kann ja eigentlich jeder billige Heim-Router) im Aufbau.

Also ich hab schon viele Router gesehen.
L2TP konnten nur sehr sehr wenige davon.
Nehmt lieber PPPoE - das kann wirklich jeder Router.
Bitte warten ..
Ähnliche Inhalte
Netzwerke
gelöst Zywall Blockt Traffic von ASA Firewall (7)

Frage von DoktorAerzt zum Thema Netzwerke ...

Linux Netzwerk
Frage zu iptables (3)

Frage von Dextha zum Thema Linux Netzwerk ...

Firewall
Iptables Firewall (6)

Frage von verueckterHund zum Thema Firewall ...

Ubuntu
Ubuntu Server Firewall mit Iptables (6)

Frage von GoogleBot zum Thema Ubuntu ...

Neue Wissensbeiträge
Humor (lol)

Wo ist der Fehler auf dem Bild?

(17)

Information von the-buccaneer zum Thema Humor (lol) ...

Windows Update

Offenbar erneutes MS-Update mit Fehlerschleife (2012 R2)

Information von VGem-e zum Thema Windows Update ...

Windows Installation

Unorthodoxer Weg, um an einen Offline-Installer für Adobe Flash zu kommen

(14)

Tipp von beidermachtvongreyscull zum Thema Windows Installation ...

Heiß diskutierte Inhalte
Lizenzierung
Programm soll in verschiedenen Versionen lizenziert sein (20)

Frage von Yanmai zum Thema Lizenzierung ...

Humor (lol)
Wo ist der Fehler auf dem Bild? (17)

Information von the-buccaneer zum Thema Humor (lol) ...

Windows Userverwaltung
Ordner-Rechte für Dom.Admin einschränken? (13)

Frage von kilobyte zum Thema Windows Userverwaltung ...