Internetfreigabe für Rechner im Heimnetz

[guennid]

Ich gehe über einen Debian-Rechner als Router ins Internet (VDSL). Es gibt zwei wlan-APs. Ich benutze shorewall auf dem Router. Es gibt im Heimnetz kein dhcp. Da diese Smartphone genannte Seuche auch in meiner Familie immer mehr zunimmt, dachte ich mir, den Zugang zum Internet über den Router nur noch ganz bestimmten IP-Adressen im Heimnetz erlauben. Ob diese Überlegung sinnvoll ist oder nicht, kann ich nicht beurteilen, ich bin kein Profi. Falls weitere Info benötigt wird, muss man mir sagen, welche, damit ich nachliefern kann. In der meist englischsprachigen Doku zu shorewall habe ich nicht gefunden, ob und wie man sowas einrichten kann. Könnte man das auch unabhängig von shorewall über die /etc/network/interfaces des Routers realsieren?

Grüße, Günther

[mistersixt]

Ich vermute, dass am Ende ja per NAT die Pakete über das ppp-Device das LAN in Richtung Internet verlassen, mit sowas als Beispiel:

Code: Alles auswählen

iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -o ppp0 -j MASQUERADE --random

Wenn Du nun die Source-Adressen etwas kastrierst... mit Netzmaske /26 oder so, dann werden halt nur die Adressen .1 bis .62 ins Internet gelassen, der Rest kommt nicht raus. In diese Richtung würde ich mal auf der Shorewall suchen. Oder explizit DENY-/REJECT-Regeln aufsetzen für die IPs, die nicht raus dürfen (sollen).

Gruss, mistersixt.

[whisper]

Guenni, deine Paranoia in allen Ehren.
Den Nachteil, wenn du Smartphones im Wlan zu Hause nicht ins Internet lässt hast du bedacht?
Viele Daten intensive Dienste, wie Updates, oder synchronisieren, Upload von Bilder etc. funktionieren oft nur, wenn sie übers Wlan ins Internet kommen.
Also mir wäre der Komfortverlust für mein S4 einfach zu groß, als dass ich über eine Internetsperre überhaupt nur nachdenken.
Alleine wegen Owncloud, das ist bei mir auf dem Server bei Hetzner, nicht zu Hause.
Aber wenn du so was zu Hause betreibst, fällt es als Gegenargument natürlich weg.

[guennid]

Danke für die Rückmeldungen!

Wenn Du nun die Source-Adressen etwas kastrierst... mit Netzmaske /26 oder so, dann werden halt nur die Adressen .1 bis .62 ins Internet gelassen, der Rest kommt nicht raus

An sowas hatte ich gedacht, wobei die Bereichsangabe eher die zweit- oder drittbeste Lösung wäre. Ich hätt's lieber in Form eine whitelist. Und wie ich das mit shorewall hinkriege, weiß ich halt nicht. Die Doku in Englisch ist mir zu schwer und einen halbwegs auf meine Bedürfnisse passenden Abschnitt habe ich nicht gefunden. Nach meiner Wahrnehmung geht's eigentlich immer nur um den umgekehrten Weg, d.h. Internetadressen vom internen Netz fernhalten.

Den Nachteil, wenn du Smartphones im Wlan zu Hause nicht ins Internet lässt hast du bedacht?

Nein, vermag ich gar nicht. Ich besitze sowas nicht. Und die, die's besitzen, benötigen, wenn ich recht sehe, mein Netzwerk nicht.

Grüße, Günther

[TomL]

Ich gehe über einen Debian-Rechner als Router ins Internet (VDSL). Es gibt zwei wlan-APs. Ich benutze shorewall auf dem Router. Es gibt im Heimnetz kein dhcp. Da diese Smartphone genannte Seuche auch in meiner Familie immer mehr zunimmt, dachte ich mir, den Zugang zum Internet über den Router nur noch ganz bestimmten IP-Adressen im Heimnetz erlauben. Ob diese Überlegung sinnvoll ist oder nicht, kann ich nicht beurteilen, ich bin kein Profi. Falls weitere Info benötigt wird, muss man mir sagen, welche, damit ich nachliefern kann. In der meist englischsprachigen Doku zu shorewall habe ich nicht gefunden, ob und wie man sowas einrichten kann. Könnte man das auch unabhängig von shorewall über die /etc/network/interfaces des Routers realsieren?

So richtig verstehe ich eigentlich nicht, was Du erreichen willst.... und das macht es irgendwie schwer, zu helfen.....

- Möchtest Du den Familien-Smartphones den Zugang ins Web erlauben, aber den Zugriff aufs lokale Netz verbieten?
- Möchtest Du den Familien-Smartphones den Zugang ins Web verbieten, aber den Zugriff aufs LAN erlauben?
- Möchtest Du den Familien-Smartphones Web und LAN erlauben?
- Möchtest Du den Familien-Smartphones Web und LAN verbieten?
- Möchtest Du nur den Familien-Smartphones irgendwas erlauben, aber allen fremden Smartphones alles verbieten?

Btw, welchen Sinn hat es überhaupt, den Familien-Smartphones das Web zu verwehren, wenns die Familie doch gerne nutzen würde?
Und warum willst Du die Geräte-IP's sperren, wenn das doch total aufwendig und imho auch unsicher ist? Da müsstest Du ja jedem Smartphone ne feste IP geben, was m.M. nach völlig unsinnig ist. Warum sperrst Du nicht einfach rigoros alles und gibst nur ausgesuchte WLAN-MACs frei?

Nen Smartphone ohne WLAN ist wie ne Gemüsesuppe, die auf alles außer Wasser verzichtet und ich würde ja gerne verstehen, was damit erreicht wird, wenn ein Smartphone nicht ins Web darf.... ausser den vielleicht jugendlichen Besitzer zu maßregeln. Ich habe das beispielsweise in meinem Router so eingestellt, dass das Smartphone vom Filius Mo-Do von 17:00 bis 24:00 freigeschaltet ist, und weiterhin von Fr 17:00 - So 24:00 Uhr. Damit ist dafür gesorgt, dass er während seines Schularbeitstages (Lernzeit) nicht abgelenkt wird. Wir haben das gemeinsam besprochen, in den Ferienzeiten ist das deaktiviert, danach wieder aktiviert. Und für den schulisch notwendigen Web-Zugriff nutzt er halt seinen Debian-Laptop, der natürlich unlimited ist.

[guennid]

Da muss ich mich dann wohl mal selbst zitieren:

[...] dachte ich mir, den Zugang zum Internet über den Router nur noch ganz bestimmten IP-Adressen im Heimnetz erlauben.

Jetzt haltet euch mal nicht am Begriff "Smartphone" auf. Ich möchte, einfach nur ganz bestimmten Maschinen, bzw deren IPs in meinem LAN den Zugang zum Internet über dessen Router erlauben. Punkt.

Warum sperrst Du nicht einfach rigoros alles und gibst nur ausgesuchte WLAN-MACs frei?

Wenn wir mal das "WLAN" in diesem Satz weglassen: Sag mir wie. Das ist doch genau das, was ich will, nur noch besser, da MAC.

Ob diese Überlegung sinnvoll ist oder nicht, kann ich nicht beurteilen

Wenn sie's nicht ist, dann sagt's mir. Aber kommt mir als Verhinderungsgrund nicht mit den "Familien-Smartphones", die interessieren mich hier nicht. Diese "aufgeweckten" Telephone haben, soweit ich weiß, eigene Internetzugänge. Insofern geht es nicht darum,

den Familien-Smartphones das Web zu verwehren.

Nichtsdetotrotz hat meine Jüngste über Weihnachten ihrer Schwester und deren Anhang reichlich "freie" IPs innerhalb meines Netzes verteilt, die dann diesen Router benutzt haben, ob das jetzt smartphones oder Äppel-Tabletts waren, weiß ich so genau gar nicht.

Grüße, Günther

[NAB]

Kannst du hiermit was anfangen, auch wenn's ausländisch ist?
http://shorewall.net/MAC_Validation.html

Prinzipiell willst du sämtliches Routing verbieten und nur für bestimmte Kombinationen aus zugeteilter IP-Adresse und zugehöriger MAC durchlassen. Danach hast du ein sehr restriktives Netz.

[guennid]

Kannst du hiermit was anfangen, auch wenn's ausländisch ist?

Leider nein. Ich habe mir schon verschiedene shorewall-Seiten angelesen, u.a. auch diese. Aber es ist halt zu Englisch - oder zu wirr, das vermag ich nicht zu beurteilen. Vielleicht geht was über eine /etc/shorewall/hosts, die wird aber im Allgemeinen nicht diskutiert, ich müsste die auch händisch anlegen, aber das hier

Code: Alles auswählen

Warning

The only time that you need this file is when you have more than one zone connected through a single interface.

Warning

If you have an entry for a zone and interface in shorewall-interfaces(5) then do not include any entries in this file for that same (zone, interface) pair.

[1] macht mich stutzig, weil ich nicht alles verstehe.

[1] http://shorewall.net/manpages/shorewall-hosts.html

Vielleicht könnte ich auch an den beiden APs ansetzen, wenn ich deren IP ändere und ein neues admin-Passwort vergebe, müsste alles, was per wlan ins lan und darüber hinaus will, erst mal diese neuen Kennungen von mir erhalten, richtig?
Alle Ethernet-NICs in meinem LAN habe ich eh unter Kontrolle.

Grüße, Günther