User aus dem Netz sperren

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Benutzeravatar
beLI3VeR
Beiträge: 535
Registriert: 30.08.2005 16:56:43
Lizenz eigener Beiträge: MIT Lizenz
Kontaktdaten:

User aus dem Netz sperren

Beitrag von beLI3VeR » 13.12.2005 08:36:57

Hi
wir haben bei uns in der schule jetzt alle Debian installiert und konfiguriert. Wir arbeiten alle nur mit der Konsole. Jetzt haben wir mehrer Netze eingerichtet. Jetzt ist meine Frage wie kann ich User aus dem Netz sperren? Ich bin der admin in meinem Netz und ich bin der Router zu den anderen Netzten. Ich will zum Beispiel den Usernnur aus meinem Netzt erlauben auf das Netz und die Rechner in meinem Netz zuzugreifen.
Danke

(Diesen Beitrag habe ich geschaft über die Konsole zu posten mit elinks. Ist gar nicht so einfach :-))
Nach oben
Benutzeravatar
mistersixt
Beiträge: 6601
Registriert: 24.09.2003 14:33:25
Lizenz eigener Beiträge: GNU Free Documentation License

Beitrag von mistersixt » 13.12.2005 09:37:49

Mit dem Tool iptables kann man Netzwerkpakete erlauben, verbieten, blocken, umleiten etc. Das geht aber im Prinzip nur per Protokoll, Zieladdresse, Quelladresse etc., nicht auf Applikations- oder Userebene. Sprich, Du kannst Netzwerkpakete, die aus anderen Netzen kommen, an Deinem Router abweisen, und auch Pakete abweisen, die aus "Deinem" Netz kommen und ins andere Netz wollen.

Google mal ein wenig, da gibt es tonnenweise Doku über iptables. Mit lynx und w3m kann man übrigens prima auf der Console surfen ;) !

Gruss, mistersixt.
--
System: Debian Bookworm, 6.11.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 3.8 Ghz., Radeon RX 5700 XT, 32 GB Ram, XFCE
Nach oben
nepos
Beiträge: 5238
Registriert: 05.01.2005 10:08:12

Beitrag von nepos » 14.12.2005 09:19:47

Man kann mit iptables auch Pakete blocken, die man anhand der User-ID indentifiziert. Dazu muss man das Modul owner nutzen. Klar ist aber auch, dass die entsprechenden Regeln immer auf den einzelnen Rechnern sein muessen, da es nur dort moeglich ist, die UID festzustellen.
Solange deine User aber auf ihren Rechnern keine root-Rechte haben, waere das kein Problem.
Nach oben
Benutzeravatar
striker2150
Beiträge: 158
Registriert: 23.07.2004 20:46:22

Beitrag von striker2150 » 14.12.2005 21:26:36

Hört sich für mich eher nach einem Problem auf Proxyebene an. Um welche Dienste geht es denn genau. Deine Angaben sind recht wage.

Sascha
Nach oben
nil
Beiträge: 989
Registriert: 08.06.2005 13:28:36

Beitrag von nil » 15.12.2005 08:57:32

Zur Absicherung deines Netzes brauchen wir wirklich mehr Infos. Wie erreichst du denn dieses Netz überhaupt, welche Dienste sind auf welchen Rechnern aktiv.

Generell solltest du folgendes machen:

- Stable-Version und aktuelle Patches
- nur die benötigten Dienste installieren und starten
- keine unverschlüsselten Kommunikationen
- kein inetd, portmapping und so ein Schrott
- SSH einschränken (kein direkter root-Zugang, Keys, besser gleich mit Passphrase)
- iptables anpassen auf das Netz und die Netzdienste (alles sperren, dann erlauben)
- Logfiles regelmäßig auswerten (z.B. fwanalog)
- Benutzer einschränken, root restriktiv nutzen (evtl. sudo, ssh-keys)
- nutze Programme wie "tiger" zur Überprüfung des Systems (im übrigen lehrreich)
- versuche alles von SSH zu verstehen und nutze es zu deinem Vorteil
- deaktiviere SSH-Port-Forwarding, wenn du es nicht kennst oder nicht benötigst
- Dateitransfer per SCP
- falls Samba nur aus Faulheit eingesetzt wird, deaktivieren
- kein Webserver (evtl. extern hosten oder stark absichern)
- vielleicht noch ein wenig am Kernel arbeiten
- fordere andere auf, dein System zu hacken
Nach oben
Antworten

Zurück zu „Netzwerk“