Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

iptables blockt UDP-Traffic nicht

Frage Netzwerke Netzwerkmanagement

Mitglied: LordGurke

LordGurke (Level 2) - Jetzt verbinden

12.09.2009 um 20:04 Uhr, 4971 Aufrufe, 6 Kommentare

Hallo zusammen,

hier ist ein Netzwerk mit ca. 20 Clients und einem Debian Lenny-System, das als Router fungiert.
Über ppp1 ist das Ding mit dem Internet verbunden, eth0 ist die interne Schnittstelle.

Seit ein paar Tagen gibt es aber ein paar Spezialisten, die sich über TVU (soviel habe ich jetzt per Remote herausbekommen) gerne mal den einen oder anderen TV-Sender angucken, den es sonst hier nicht gibt.
Problem: Die ganze Leitung wird sowohl Download- als auch Upload-Technisch bis kurz vor Anschlag gefahren. VoIP hat trotz QoS gelegentlich Aussetzer und Internetseiten brauchen ewig zum Laden.

Alle netten Worte haben nichts geholfen, jetzt sollen böse iptables-Regeln folgen. Habe jetzt folgendes ausprobiert:

iptables -A OUTPUT -p UDP --dport 80 -j DROP
iptables -A OUTPUT -p UDP --sport 80 -j DROP
iptables -A INPUT -p UDP --dport 80 -j DROP
iptables -A INPUT -p UDP --sport 80 -j DROP


Laut iptraf läuft der gesamte Datenverkehr von TVU über Port 80 UDP. Und damit müsste ich das ja eigentlich blockieren können?
Aber trotz dieser Regel ist die Leitung weiterhin in beide Richtungen dicht und IPTraf meint auch, dass da noch eine ganze Menge läuft...
Selbst ein

iptables -A OUTPUT -s 192.168.0.xxx -j DROP
iptables -A INPUT -s 192.168.0.xxx -j DROP

hat keine Wirkung - und nach meinem Verständnis sollte damit der Client komplett abgetrennt sein...


Habt ihr eine Idee, was ich da gerade falsch mache?


Viele Grüße aus dem Tal
Max
Mitglied: BigWumpus
13.09.2009 um 00:05 Uhr
Zitat von LordGurke:
Alle netten Worte haben nichts geholfen, jetzt sollen böse
iptables-Regeln folgen. Habe jetzt folgendes ausprobiert:


Habt ihr eine Idee, was ich da gerade falsch mache?


Hä ?

Chef - Gespräch - Kündigung ?
Wo ist da Dein Part ?
Bitte warten ..
Mitglied: kopie0123
13.09.2009 um 03:12 Uhr
Zitat von LordGurke:
einem Debian
Lenny-System, das als Router fungiert.


Hey!

Schau dir doch mal IPCop an, http://ww.ipcop.org

Hier kannst du deine Wünsch ganz bequem über ein Webinterface einstellen.

Tipps unter http://www.ipcop-forum.de
Bitte warten ..
Mitglied: LordGurke
13.09.2009 um 13:45 Uhr
@BigWumpus:
Sorry, habe vergessen zu schreiben, dass das so eine Art WG ist. Da ist ein komplettes Haus - von oben bis unten voll mit Studenten - an einen 100MBit/s-Anschluss von Netcologne angeschlossen, aus dem effektiv 76MBit/s rauskommen, in die andere Richtung kommen die auf 10 MBit/s. Und wenn da auch nur zwei-drei Vollpfosten den Upload dicht machen wird es schon eng.
Hast aber Recht, am Arbeitsplatz wäre die betroffene Person gegangen worden

@StingerMac:
Bevor da vor drei Wochen Lenny draufgekommen ist, war das auch ein IPCop-System. Mangels IPv6-Support und mangels der Fähigkeit, sich einigermaßen stabil über PPTP zu verbinden, mussten wir aber wechseln.


Habe den Fehler jetzt auch gefunden: Aus irgendeinem Grund war eine Regel gesetzt, die alles von 192.168.0.0/24 geacked hat, so dass meine Regeln garnicht mehr gegriffen haben.
Nächste Woche wird der Switch noch an den RS232-Port des "Routers" angeschlossen und wenn da nochmal jemand so ein Theater macht, wird eben der Port geshutted - Problem bereits auf Layer 1 gelöst
Bitte warten ..
Mitglied: dog
13.09.2009 um 15:28 Uhr
Bessere Lösung wäre z.B. ein MikroTik-Router.
Der kann sowohl IPv6 als auch PPTP-Client.
Vorallem hat der aber einen PPPoE-Server, so dass du alle User zu einem Login zwingen kannst.
Das hat drei Vorteile: Du kannst leichter herausfinden, wer sich die Kinderpornos runtergeladen hat, du kannst die Datenraten von Haus aus beschränken und du hast die Möglichkeit accountbasierte Traffic-Statistiken zu machen.
Das in Kombination mit einem Switch der Port-Isolation kann (sowas benutzt du ja sicher jetzt schon, oder?) und du hast ein wesentlich besseres System.
Und wenn du an iptables hängst: Die Mikrotik-Firewall basiert auch auf netfilter und ist in der Konfiguration ziemlich ähnlich.

Grüße

Max
Bitte warten ..
Mitglied: LordGurke
13.09.2009 um 21:30 Uhr
Die Idee mit PPPoE hatten wir auch schon, da wir aber schon einen ganz vernünftigen Cisco-Switch da stehen haben und der auch teuer genug war, haben wir erstmal davon abgelassen

Bis jetzt haben wir erstmal jede Wohnung (jeweils 3 Dosen) in ein eigenes VLAN gepackt, von dem lediglich das Gateway erreichbar ist.
Es stand mal die Idee mit 802.1x-Authentifizierung im Raum, da die Clients aber wirklich bunt gemischt sind und die Gefahr bestand, dass ein Drittel der Leute damit ausgesperrt wird, haben wir die Idee wieder verworfen.

Es ist aber derzeit ein L2TP-System (das kann ja eigentlich jeder billige Heim-Router) im Aufbau. Jeder hat dann genau eine Netzwerkdose in der Wohnung, an den darf er gerne einen Router und daran seine Clients anhängen. Einwahl und damit auch Authentifizierung über L2TP und Zuweisung einer eigenen öffentlichen IP (wir bekommen über einen Drittanbieter ein /27-Netz geroutet).

Auf dem Lenny-Router wurde jetzt durch einen Kollegen ein Layer7-Filter installiert, der das wohl zuverlässig abhalten soll. Da lasse ich mich jetzt gerne mal überraschen...
Bitte warten ..
Mitglied: dog
13.09.2009 um 22:37 Uhr
Es ist aber derzeit ein L2TP-System (das kann ja eigentlich jeder billige Heim-Router) im Aufbau.

Also ich hab schon viele Router gesehen.
L2TP konnten nur sehr sehr wenige davon.
Nehmt lieber PPPoE - das kann wirklich jeder Router.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
LAN, WAN, Wireless
Dd-wrt Hotspot mit Radius Server und Traffic Volume Limit (19)

Frage von Kubus0815 zum Thema LAN, WAN, Wireless ...

Netzwerkmanagement
gelöst Der Squidguard Pornfilter blockt nicht alle Schmuddelseiten (8)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Netzwerkgrundlagen
gelöst DCs sehr viele UDP-Verbindungen zur Firewall (5)

Frage von watchdogg zum Thema Netzwerkgrundlagen ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...