iptables Konfigurationsdatei

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
Benutzeravatar
jmar83
Beiträge: 82
Registriert: 20.06.2013 20:20:15

iptables Konfigurationsdatei

Beitrag von jmar83 » 24.05.2018 05:31:41

Hallo zusammen

Leider ist das Forum unter https://forum.openwrt.org/ gerade geschlossen ("The OpenWrt forum is currently offline..."), deshalb frage ich hier an. Ich denke Ihr könnt evtl. meine Frage bezüglich "iptables" beantworten. (?)

Es geht darum, dass ich bei meinem Western Digital N750-Router für einen bestimmten Rechner mit der IP 192.168.1.154 bestimmte ausgehende Verbindungen per Hostname sperren will. (Also bestimmte ausgehende Verbindungen aus dem LAN, welches letztendlich über das WAN gehen. Also: LAN -> 192.168.1.1 -> WAN)

Aktuell liegt folgendes vor bei den "Custom Rules":

Code: Alles auswählen

# This file is interpreted as shell script.
# Put your custom iptables rules here, they will
# be executed with each firewall (re-)start.

# Internal uci firewall chains are flushed and recreated on reload, so
# put custom rules into the root chains e.g. INPUT or FORWARD or into the
# special user chains, e.g. input_wan_rule or postrouting_lan_rule.
(also nix...)

...nun möchte ich folgende Hostnamen sperren für die IP 192.168.1.154:

Code: Alles auswählen

*.download.windowsupdate.com
*.microsoft.com
*.update.microsoft.com
*.windowsupdate.com
*.windowsupdate.microsoft.com
download.microsoft.com
download.windowsupdate.com
ntservicepack.microsoft.com
test.stats.update.microsoft.com
windowsupdate.microsoft.com
wustat.windows.com

(Anmerkung: Dass M$ es nicht erlaubt, sämtliche Update-Server bei Win10 über das hosts-File zu blocken, das finde ich eine bosenlose Frechheit - sämtliche Einträge dieser Art werden vom System Windows 10 schlicht ignoriert!! Der Grund ist, dass das Update 1803 bei mir Faxen macht, nach dem Herunterladen werde ich ständig aufgefordert neu zu starten. Doch dann läuft kein Installationsprozess, und nach dem Neustart werde ich immer wieder dazu aufgefordert neu zu starten und nie tut sich was..)

Ich habe zwar was zum Thema gefunden, aber das ist dermassen kompliziert dass ich wohl wieder Tage hätte um das Problem zu lösen: https://help.ubuntu.com/community/IptablesHowTo

Die per GUI hinterlegte Standardkonfiguration ist:

Bild

Vielen Dank für die Feedbacks! :)
Freundliche Grüsse, Jan

Jana66
Beiträge: 3902
Registriert: 03.02.2016 12:41:11

Re: iptables Konfigurationsdatei

Beitrag von Jana66 » 24.05.2018 07:46:44

Du willst offenbar mehrere Domains sperren (*.irgendwas). Das kann viele Server, auch wechselnde IPs wegen Lastausgleich betreffen. Würde mit Paketfiltern umständlich und wohl nicht umfassend. Nun soll das nur auf 1 Quell-IP (Windows-Host 192.168.1.154 ) wirken. Hier ist das verkomplizierende Problem, sonst hätte ich Adblocker (gibt es auch für OpenWRT) oder pihole mit deiner Blacklist vorgeschlagen. Wirkt aber für das gesamte LAN. Wenn du nun für alle Windows-PCs Updates verhindern willst, funktioniert das aber.

Für ausgewählte Windows PCs:
M. E. ist die einfachste Lösung Debiandnsmasq auf einem beliebigen Linux-Rechner und nur auf dem Windows-Host 192.168.1.154 wird der Linux-Rechner (Raspi & Co., vorhandener NAS, Virtuelle Maschine) als DNS-Server eingetragen.
dnsmasq mit eigener Blacklist: https://wiki.ubuntuusers.de/Dnsmasq/ (Absatz Manipulieren)

Elegant: 2 Instanzen von dnsmasq (Lauschen an unterschiedlichen IPs) auf OpenWRT-Router, also ohne zusätzlichen Linux-Rechner:
More than one instance
If we want two or more dnsmasq servers works per interface(s).
Static
To do this staticly, server per interface, use interface and bind-interface options. This enforce start second dnsmasq.
Dynamic
In this case we can exclude per interface and bind any others:
except-interface=lo
bind-dynamic
https://wiki.archlinux.org/index.php/dn ... and_tricks

Oder auf OpenWRT 2 verschieden DNS-Server (unbound + dnsmasq) laufen lassen, die an verschieden IP-Adressen lauschen.

Wenn Updates mal wieder ermöglicht werden sollen, wäre bei Adblocker/pihole die Blacklist zu löschen. Bei 2 DNS-Servern müsste nur der andere ohne Blacklist im Windows-Host eingetragen werden.

Edit: Wenn du mal in einem Windows-Forum fragst oder Google nutzt: Ich habe schon einige Mal von Tricks und Apps gelesen, die Updates per Registry-Änderung verhindern. Wäre das einfachste. :wink:
Zuletzt geändert von Jana66 am 24.05.2018 08:56:18, insgesamt 1-mal geändert.
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

Benutzeravatar
jmar83
Beiträge: 82
Registriert: 20.06.2013 20:20:15

Re: iptables Konfigurationsdatei

Beitrag von jmar83 » 24.05.2018 08:20:31

Hallo Jana66

Danke für das schnelle und kompetente Feedback!!

Allerdings habe ich momentan meinen Virtualisierunsserver (proxmox), auf dem Debian 9.0.x als VM mit Samba eingerichtet ist, nicht in Betrieb. (Der bräuchte 2 neue Festplatten für den SW-RAID1-Verbund..) Sonst könnte ich dort problemlos einen DNS-Weiterleitungsdienst einrichten, mit bestimmten Regeln halt, um die MS-Server auszuschliessen.

Mein OpenWRT (OpenWrt Chaos Calmer 15.05.1 / LuCI 15.05-149-g0d8bbd2 Release (git-15.363.78009-956be55)) auf dem WD N750 ist das das GUI betrifft relativ spartanisch, aber gut, ist ja Linux um per SSH könnte man so ziemlich einiges machen...

Vorübergehend habe ich das Problem aus diesen Gründen per "Acrylic DNS Proxy" (http://mayakron.altervista.org/wikibase ... crylicHome) gelöst, ist relativ simpel: Installieren, dann 127.0.0.1 als prim. DNS-Server eintragen und das Acrylic Hosts-File um die entsprechenden Einträge ergänzen. Dann sicherheitshalber den DNS-Cache per "ipconfig" flushen... anschlissend den Acrylic-Dienst neu starten und gut ist. Nun zeigt mir Windows 10 per "winver.exe" die Version 1709 an, und das Update-Programm meldet: "Ihr Computer befindet sich auf dem neusten Stand". (oder sowas)
Freundliche Grüsse, Jan

Benutzeravatar
jmar83
Beiträge: 82
Registriert: 20.06.2013 20:20:15

Re: iptables Konfigurationsdatei

Beitrag von jmar83 » 24.05.2018 08:22:39

Nachtrag: Und natürlich im Acrylic DNS-Proxy-config-File die Ziel-DNS, in meinem Fall die Router-IP 192.168.1.1, eintragen!
Freundliche Grüsse, Jan

Antworten