Iptabels + tc (sharping ) Hilfe gesucht

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
niwu
Beiträge: 10
Registriert: 05.12.2014 13:09:49

Iptabels + tc (sharping ) Hilfe gesucht

Beitrag von niwu » 17.03.2015 08:17:54

Hallo Linux Gemeinde,

# Vorwort ich habe eine privat Initiative gemacht. an meiner Bushaltestelle vor dem Haus als Spaß an der Freude. eine Open Wlan ausgesetzt.

Wlan rein und Ausgang über das Tor-Netzwerk.

So der Forward funktioniert sehr gut.

Nun geht es an das eingemachte und meine Frage.

ich will wenn möglich mehr als nur freizügig sein. das heißt sperren alles bis aus das nötigste.

und da ich nur beschränkten Traffic dort habe. aus ne option wenn es geht mit tc.

das was ich hier gefunden habe war gut, hab mich aber irgendwie selbst verarscht.( Ausgespert)

Da frage ich doich lieber bevor ich ein Gehirnschlag bekomme nach Hilfe.

also was ist mein Ziel:

IP Bereich 10.0.0.0/24 Wlan = rein Forward nach Tor geht und 22 und 53 ohne tor von draussen nach drin.

ich würde gern auf 10 Ip Adressen, die per dhcp freigegeben sind eine sperre noch setzen. ausser

25,110, sowie die zusätzlichenpop3/smtp/imap, 80, 443 freigeben

auf jeden fall, die firesharing usw sei es mit down oder upload nicht reinlassen ins wlan

und nun der abschluß wenn es geht per tc ne art master regel, ein und ausgehender Traffic sagen wir zum testen bei 3 KB laufen lassen, hochschrauben kann man ja später.

so sieht es derzeit bei mir aus

und nein es gibt keine input oder output regeln. nur der direkte forward zum tor und nur 22 und 53 gehet direkt ins netzwerk bei mir

iptables -F
iptables -X
iptables -Z

iptables -t nat -A PREROUTING -i wlan0 -p tcp --dport 22 -j REDIRECT --to-ports 22
iptables -t nat -A PREROUTING -i wlan0 -p udp --dport 53 -j REDIRECT --to-ports 53
iptables -t nat -A PREROUTING -i wlan0 -p tcp --syn -j REDIRECT --to-ports 9040
iptables -A FORWARD -o eth0 -i wlan0 -s 10.0.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# ab hier

wollte ich sperren und traffic sharping machen.

#ab hier 15 Zeilen logs. Protokollierung.

Hat irgendwie irgendwer eine Lösung oder einen Lösungsvorschlag währe klasse.

danke euch im Vorraus.

niwu

Benutzeravatar
GregorS
Beiträge: 3304
Registriert: 05.06.2008 09:36:37
Wohnort: Freiburg
Kontaktdaten:

Re: Iptabels + tc (sharping ) Hilfe gesucht

Beitrag von GregorS » 17.03.2015 20:03:46

niwu hat geschrieben:...
Mir ist beim Lesen Deines Postings irgendwann die Lust vergangen, mich näher damit zu befassen. Könntest Du die Frage nochmal ein bisschen knapper und lesefreundlicher stellen?

Gruß

Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi und sog. Maker)

niwu
Beiträge: 10
Registriert: 05.12.2014 13:09:49

Re: Iptabels + tc (sharping ) Hilfe gesucht

Beitrag von niwu » 18.03.2015 06:26:31

Hallo Gegor

also einfach

ich habe ein Free wlan aufgemacht und gestartet.
Mein Traffic der am Free Wlan hängt ist beschränkt. 5 GB/Monat

was tun ,? meine idee war mit iptables. soweit alles Sperren.
wie download , oder nette scans oder sonstiges.
Was ich Freigegeben habe ist Freigegeben.

Aber trotzdem kann man vollpowern und denTraffic in einer Woche verbrauchen.
Deshalb mein Gedanke mit TC etwas das limit beschränken. input, Output /forward

Bei meiner Bastelei habe ich mich vertan bei TC und deslab frage ich wie ich die Standartports , etwas im gesamten Limiitieren kann.

alle email , http, https,

Der Rest ist ja dicht gemacht,


nils

Benutzeravatar
GregorS
Beiträge: 3304
Registriert: 05.06.2008 09:36:37
Wohnort: Freiburg
Kontaktdaten:

Re: Iptabels + tc (sharping ) Hilfe gesucht

Beitrag von GregorS » 18.03.2015 06:34:22

niwu hat geschrieben:... also einfach ...
Danke, jetzt ist klar, was Sache ist. Was Du machen möchtest, nennt sich „Accounting“. Damit kenne ich mich (noch) nicht aus, ist aber vielleicht etwas, das ich mir auf die Schnelle reinziehen und erzählen kann. Spätestens um die Mittagszeit gebe ich Bescheid. Das kann jedenfalls nicht allzu schwierig oder kompliziert sein, weil Accounting eine ur-ur-uralte Sache ist.

Gruß

Gregor

PS: In der letzten iptables-Regel ist IMO ein Fehler (?) drin: Du definierst als Sprungziel (-j) ACCEPT und am Ende noch einmal ein anderes Ziel. Das zweite wird IMO nie erreicht. Ups, sehe gerade, dass da vermutlich nur ein Zeilenumbruch fehlt.
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi und sog. Maker)

niwu
Beiträge: 10
Registriert: 05.12.2014 13:09:49

Re: Iptabels + tc (sharping ) Hilfe gesucht

Beitrag von niwu » 18.03.2015 06:42:00

HU Gregor

ja hab den Fehler auch gesehen.

Bin ja auch bissl blauäugig rangegangen,

Einfach mal so , wie ein mailserver oder webserver ist es ja nicht

Ope Wlan hat eigene Gesetze
1.)Die dt.Gesetze
2.)Hatte ich gedacht/Vermutet Traffic Rate& Burst gilt für alles im Tor
doch Falsch gedacht gilt nur für Entry und Exit Note nicht für GW's
3.Das es keine 3 Minuten dauert bis mein DHCP Server mit seinen Ips am ende war,ach Onlinestellung des Testbetrieb

Benutzeravatar
GregorS
Beiträge: 3304
Registriert: 05.06.2008 09:36:37
Wohnort: Freiburg
Kontaktdaten:

Re: Iptabels + tc (sharping ) Hilfe gesucht

Beitrag von GregorS » 18.03.2015 09:05:34

niwu hat geschrieben:Einfach mal so , wie ein mailserver oder webserver ist es ja nicht
Geh‘ besser davon aus, das NICHTS einfach ist. Wenn Mail- und Webserver „einfach mal so“ gehen, ist das ein Verdienst der Paketverwalter. Mach‘ Dir lieber die Arbeit, die Dokus zumindest zu überfliegen – ich habe die Erfahrung gemacht, dass man vieles zwar nur einmal braucht, aber im Zusammenhang eine umfangreiche Kenntnis der Dinge bringt, die man sonst nie bekommt.
niwu hat geschrieben:Ope Wlan hat eigene Gesetze
1.)Die dt.Gesetze
2.)Hatte ich gedacht/Vermutet Traffic Rate& Burst gilt für alles im Tor
doch Falsch gedacht gilt nur für Entry und Exit Note nicht für GW's
3.Das es keine 3 Minuten dauert bis mein DHCP Server mit seinen Ips am ende war,ach Onlinestellung des Testbetrieb
Wie gesagt, wenn man‘s „so richtig“ richtig machen möchte, ist NICHTS einfach. Was das Gesetzliche angeht, fällt mir gerade nur das Stichwort „Mitstörerhaftung“ ein (die es evtl. gar nicht mehr gibt). Außerdem habe ich vor ein paar Wochen oder Monaten aufgeschnappt, dass es ein Gerichtsurteil zu „Freifunker“-Kram gibt und dass es deutlich einfacher ist, sein WLAN für andere zugänglich zu machen.

Was das Accounting-Ding angeht: Guck mal in die Manpage von iptables, so ab Zeile 625 (Abschnit „Match extension“) geht es um Accounting. Wenn Du nach „nfacct“ suchst, findest Du‘s.
Unter http://wiki.openvz.org/Traffic_accounting_with_iptables gibt es ein (englisches) Dokument mit Beispielregeln und Skript(en), um bei Bedarf die Accounting-Infos zusammenzutragen.

Gruß

Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi und sog. Maker)

niwu
Beiträge: 10
Registriert: 05.12.2014 13:09:49

Re: Iptabels + tc (sharping ) Hilfe gesucht

Beitrag von niwu » 18.03.2015 11:30:50

Hallo Gregor,


schon mla gut.


aber so accounting vielleicht mal später.

Für mich ist erstmal wichtig, das der "WLAN-User" erstmal im Speed beschränkt wird.

Das heiß surfen nicht mit voller pracht sondern sagen wir mal so

Input
User => über Wlan0 ==> zum Internet mit Tor und nur 10 KB/s
output
10KB/s von tor ==> über Wlan0 =>> zum User

Benutzeravatar
GregorS
Beiträge: 3304
Registriert: 05.06.2008 09:36:37
Wohnort: Freiburg
Kontaktdaten:

Re: Iptabels + tc (sharping ) Hilfe gesucht

Beitrag von GregorS » 18.03.2015 11:56:36

niwu hat geschrieben:... Das heiß surfen nicht mit voller pracht sondern sagen wir mal so

Input
User => über Wlan0 ==> zum Internet mit Tor und nur 10 KB/s
output
10KB/s von tor ==> über Wlan0 =>> zum User
Das haut im Grunde in die gleiche Kerbe. Guck‘ in dem von mir genannten Link, da müsste alles drinstehen, was Du für einen kastrierten WLAN-Accesspoint so brauchst. Vom Traffic-shaping (welche Sorte Daten kommen wie durch [oder nicht]) über die Geschwindigkeitsbegrenzung bis zum Accounting sollte da alles drinstehen. Soweit ich mich erinnere, sind dort alle relevanten Dinge behandelt. Wenn Du Probleme mit dem Englisch hast, guck‘ Dir die Beispiele an. Das bringt Dich auf jeden Fall ein gutes Stück weiter. Und wenn Du jeweils nachguckst, welche Option dort was bewirkt, bist Du bald ein iptables-Guru :-)

Gruß

Gregor

BTW: Ich würde sowas erst einmal mit virtuellen Maschinen testen und mitschreiben, was ich wo gemacht habe. Wenn Du sowas machen möchtest: Unter http://html.szaktilla.de/qemu findest Du einiges Gesabbel zum Thema.
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi und sog. Maker)

Antworten