Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

OS Linux

Tijdsrestrictie in iptables?

me1075
15 antwoorden
  • Is het mogelijk om een tijdsrestrictie in te bouwen in een firewall met iptables? Zo ja, had ik daar graag wat meer informatie over…
  • Hoe bedoel je? Wat iig kan is het aantal pakketjes per seconde reguleren, om buffer-overflows te voorkomen.
  • De bedoeling is dat gebruikers tussen een bepaalde tijd het internet op kan. Een klant van ons heeft een Linux firewall draaien (Red Hat 7.1) en aangezien ze daar continu-diensten draaien, willen ze ervoor zorgen dat de nachtploeg niet zomaar gaat zitten internetten. De mail moet echter nog wel verstuurd kunnen worden en binnen kunnen komen op de Exchange server.

    Een pakket als ISA-server is ideaal voor hun, ik heb dat al een aantal malen voorgesteld, maar ze vinden het helaas te duur. De vraag is dus of met hun firewall hetzelfde mogelijk is als met ISA-server, namelijk op bepaalde tijden internet blokkeren, terwijl essentiele poorten gewoon open blijven.
  • Dat is wel degelijk mogelijk..
    Ik gebruik thuis de floppy router BBIagent.
    Die heeft die mogelijkheid en nog veel meer!
    Heeft ook Traffic Shaping mogelijkheden etc..
    Check www.bbiagent.net
    Te gebruiken bij:
    -dial up
    -adsl
    -cable
    -mxtream adsl

    M.
  • Twee firewallscripten en een paar cronjobjes, denk ik. Je moet dan wel heel goed kijken naar je veiligheid. Als je een nieuw firewallscript start moet je eigenlijk de oude regels eerst wissen. Je bent dan een fractie van een seconde onbeschermd.

    Maar misschien kan het ook wel door afwisselend poort 80 open en weer dicht te zetten. Bij iptables werkt het zo dat een nieuwe regel een voorgaande overschrijft, maar een script wordt van boven naar beneden gelezen. Je hebt dus kans dat de oude regel niet voerschreven wordt en de boel alsnog geblocked blijft. Het wordt dus een beetje proberen denk ik.

    Misschien kan het ook wel met een externe parmeter die de waarde 0 of 1 heeft. Het script veranderd dan niet en bij elk pakketje wordt dan gekeken of poort 80 open staat (bv. INTERNET_ALLOWED=1). INTERNET_ALLOWED is dan gewoon een export-variabele, die je aanpast met een cronjob.
  • Kun je zelf met cron regelen…. heb je ook echt grip op de situatie….

    Maak meerdere rule-files…. met cron copieer je de gewenste rule-file over de actieve rulefile wanneer jij dat wilt en herstart de iptables-service (/sbin/service iptables restart) waardoor de nieuwe rules worden gebruikt worden.
  • 12:00 middagpauze:
    Cronjob 1 : flushen die iptables
    Cronjob 2: iptables erin met 8080 open
    13:00 aan het werk
    Cronjob 3:(cronjob1) flushen die iptables
    Cronjob 4: pot dicht die vuurmuur
  • [quote:d77b67c67e="KayJay"]12:00 middagpauze:
    Cronjob 1 : flushen die iptables
    Cronjob 2: iptables erin met 8080 open
    13:00 aan het werk
    Cronjob 3:(cronjob1) flushen die iptables
    Cronjob 4: pot dicht die vuurmuur[/quote:d77b67c67e]

    Dat zei ik ook al min of meer. Om veiligheidsproblemen volledig uit te sluiten, zou je de internetverbinding eventjes tijdelijk kunnen afsluiten totdat de firewall weer in de lucht is. Ineternet mag pas weer open als firewall-script geen fouten geeft.

    Maar, volgens mij moet het ook kunnen met een externe variabele, en dan blijven firewall-regels onveranderd draaien en hoeft de internetverbinding ook niet plat.
  • Je kunt een aparte ketting aanmaken. Na enkele regels stuur je alle pakketten door die ketting. Op bepaalde tijden hou je die ketting leeg. iptables zal dan terugkeren naar de oorspronkelijke ketting, en daar kun je regels alsnog laten droppen. Door in die ketting bepaalde regels te accepteren, kun je tijdelijk bepaalde pakketten doorlaten. Je maakt een cron-script die die ketting leegt danwel vult.
  • Ik ben geen ster in tables maar volgens mij kun je gewoon EEN regel fluxhen en daarna een nieuwe op die plaats invoegen.
    Hiervoor maak je drie scrippies en dan hoef je dus verder niets dan alleen poort 80 en 8080 open/dicht te gooien.
  • [quote:dfec69cf97="wstolk"]Ik ben geen ster in tables maar volgens mij kun je gewoon EEN regel fluxhen en daarna een nieuwe op die plaats invoegen.
    Hiervoor maak je drie scrippies en dan hoef je dus verder niets dan alleen poort 80 en 8080 open/dicht te gooien.[/quote:dfec69cf97]Dat kan met[code:1:dfec69cf97]iptables -R [ketting] [regelnr] [nieuwe specificatie][/code:1:dfec69cf97] Dat gaat goed zolang je de firewall maar niet aanpast. Als je bijvoorbeeld een regel aan het begin van de firewall toevoegd moet ook de regelnummer in de script veranderd worden. Vooral als er veel regels moeten worden veranderd denk ik dat een nieuwe ketting handiger is. Als het slechts om enkele regels gaat (en je de firewall niet te vaak bijwerkt) is 'iptables -R' duidelijker.
  • Ja dat bedoel ik
    Waar het hierom ging was toch alleen een internet restrictie ?? (of moet ook msn ed. nog geblockt worden ??

    Maar dan nog …
    En een goede firewall bevat ook documentatie en desnoods nummer je je rules
    # 1 –commentaar
    regels
    #2 — commentaar
    regels
    enz.
  • Ik ben niet echt een ster in firewalls met Linux. Wat dus de bedoeling is, is dat tussen 7 en 18 uur de gebruikers kunnen internetten zoals ze dat nu 24/7 kunnen en tussen 18 en 7 uur moet internet voor de gebruikers dicht, maar moet er uiteraard nog wel e-mail naar binnen kunnen. Tussen die tijden de hele internetverbinding platgooien is dus geen optie.
  • beetje lastig…

    het makkelijkste is iid om 2 cronjobs te nemen

    de ene stopt en start de firewall in de dag-modus
    de tweede stopt en start de firewall in nacht-modus

    als je 's nachts alleen mail nodig hebt moet je poort 25 en 110 open zetten (voor pop3s is het poort 995)

    uiteraard moet je dns open houden… ;)

    (zorg wel overigens dat je de stop scripts met een echo "0" > /proc/sys/net/ipv4/ip_forward begint)
  • [quote:f2daed8148="Mithrandir"]als je 's nachts alleen mail nodig hebt moet je poort 25 en 110 open zetten (voor pop3s is het poort 995)[/quote:f2daed8148]

    Er staat een Exchange server, dus alleen poort 25 is voldoende. Ik ga eens even kijken of ik het voor elkaar kan boksen. Bedankt allemaal.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.