Internet Access für PPTP-VPN verbundene User sperren
- Ersteller ironist
- Erstellt am
-
Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.
Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.
Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier
- Status
Hallo ironist,
Bücher und Hardware zum Thema gibt es bei Amazon: Internet Access für PPTP-VPN verbundene User sperren
Bücher und Hardware zum Thema gibt es bei Amazon: Internet Access für PPTP-VPN verbundene User sperren
daran habe ich gar nicht gedacht
imho müsste es dann eher POSTROUTING sein. FORWARD ist glaub nur für Pakete welche geroutet werden, oder? Die DS routet ja aber nicht sondern macht ein NAT dazwischen
Allerdings frage ich mich gerade wie genau es ist: bei einem Proxy wird ja glaub alles via INPUT/OUTPUT abgehandelt. Ist ja kein FORWARD wenn die Verbindung terminiert und vom Server nach aussen neuaufgebaut wird
@topicstarter
Schau dir mal die POSTROUTING Kette an
gibt dir die aktuellen Regeln der NAT Kette an. Dort wird es wohl eine Regel mit -j MASQUARADE gebenCode:iptables -t nat -L POSTROUTING -n
Kannst du die mal hier posten?
@jahlives:
wie werde ich nun die 3 zeilen code die du mir empfohlen hast wieder los ?
hatte versucht die iptables datei zu editieren, die war jedoch voll mit sonderzeichen und kaum lesbar für mich.
reich ein neustart um diese zeilen wieder loszuwerden ?
-resultiert die MASQUERADE all zeile daraus, oder war die vorher auch schon gegeben ? (mein vpn netz ist 10.10.10.x ...wobei der ERSTE verbunde user die 10.10.10.1 bekommt)
jahlives
Benutzer
- Registriert
- 19. Aug. 2008
- Beiträge
- 18.275
- Reaktionspunkte
- 4
- Punkte
- 0
ersetze das -I bei deinen drei Kommandos einfach durch ein -D
Dann bräuchtest du nur eine DROP Regel in der FORWARD Kette
damit sollte jegliches forwarden von Paketen aus dem VPN Netz unterbunden werden
Dann bräuchtest du nur eine DROP Regel in der FORWARD Kette
Code:
iptables -I FORWARD -s 10.0.0.0/24 -j DROPdie drei kommandos die du mir gelistet hast nun neu eingeben (mit -D statt -I), oder soll ich die irgendwo in einer datei modifizieren ?
wie bekomme ich die alten kommandos nun raus ? in der iptables datei finde ich sie nicht, noch dazu ist die voller sonderzeichen, gibt es eine erklärung hierfür ?
wo stehen die bereits eingegebenen kommandos drinnen ?
mfg
ironist
wie bekomme ich die alten kommandos nun raus ? in der iptables datei finde ich sie nicht, noch dazu ist die voller sonderzeichen, gibt es eine erklärung hierfür ?
wo stehen die bereits eingegebenen kommandos drinnen ?
mfg
ironist
jahlives
Benutzer
- Registriert
- 19. Aug. 2008
- Beiträge
- 18.275
- Reaktionspunkte
- 4
- Punkte
- 0
1. welche iptables Datei? Die gibt es afaik nur wenn man iptables-save verwendet hat
2. Pfeiltaste nach oben sollte dich einzeln durch die letzten Kommandos leiten
3. alternativ kannst du auch mal history auf der Kommandozeile eingeben. Das sollte dir auch die letzten Kommandos zeigen
2. Pfeiltaste nach oben sollte dich einzeln durch die letzten Kommandos leiten
3. alternativ kannst du auch mal history auf der Kommandozeile eingeben. Das sollte dir auch die letzten Kommandos zeigen
lediglich diese 4 zeilen eingeben ?
und dann:
stimmt das so ?
wichtig:
der erste vpn user der sich verbindet bekommt die 10.10.10.1, daher gehe ich davon aus dass die DS die 10.10.10.0 hat, ist das richtig ?
dachte die befehle die ich davor eingegeben habe, werden nach eingabe in der kommandozeile direkt in die iptables gespeichert. was passiert nun wenn ich diese neuen 4 zeilen einfach "darauf" eingebe ? (ich habe nicht nach eingabe den befehl iptables - save verwendet)
:edit:
kann mir jemand erklären was der -K schalter bzw. der -I oder -j oder -s schalter zwecks verständnis machen?
mfg
ironist
und dann:
stimmt das so ?
wichtig:
der erste vpn user der sich verbindet bekommt die 10.10.10.1, daher gehe ich davon aus dass die DS die 10.10.10.0 hat, ist das richtig ?
dachte die befehle die ich davor eingegeben habe, werden nach eingabe in der kommandozeile direkt in die iptables gespeichert. was passiert nun wenn ich diese neuen 4 zeilen einfach "darauf" eingebe ? (ich habe nicht nach eingabe den befehl iptables - save verwendet)
:edit:
kann mir jemand erklären was der -K schalter bzw. der -I oder -j oder -s schalter zwecks verständnis machen?
mfg
ironist
jahlives
Benutzer
- Registriert
- 19. Aug. 2008
- Beiträge
- 18.275
- Reaktionspunkte
- 4
- Punkte
- 0
wo siehst du einen -K Schalter?
-I weist iptables an eine neue Regel einzufügen d.h. an die erste Stelle der Kette (insert). Im Gegensatz zu -A welches die Regel als letztes an die Kette fügt (append)
-j definiert die auszuführende Aktion falls die Regel zutrifft und -s steht für Quelle (Source) und -d für Ziel (Destination)
Nein die DS hat (sehr) sicher nicht die IP 10.10.10.0 das ist eine Netzwerkadresse. Host können nur zwischen 1 und 254 IPs bekommen. 255 ist für den Broadcast reserviert. Wenn du die Regeln erneut eingibst, dann hast du sie einfach verdoppelt
-I weist iptables an eine neue Regel einzufügen d.h. an die erste Stelle der Kette (insert). Im Gegensatz zu -A welches die Regel als letztes an die Kette fügt (append)
-j definiert die auszuführende Aktion falls die Regel zutrifft und -s steht für Quelle (Source) und -d für Ziel (Destination)
Nein die DS hat (sehr) sicher nicht die IP 10.10.10.0 das ist eine Netzwerkadresse. Host können nur zwischen 1 und 254 IPs bekommen. 255 ist für den Broadcast reserviert. Wenn du die Regeln erneut eingibst, dann hast du sie einfach verdoppelt
der -K schalter war ein versehen.
da sich die Befehle (durch -D statt -I) nun geändert haben ist es ja nichtmehr der selbe Befehl.
Werden diese, vorher eingegebenen (-I) Befehle bei einem Neustart nun verworfen ?
ich habe mir mittels vi die iptables datei angesehen und sehe hier viele sonderzeichen die diese datei fast unleserlich machen, warum ?
ist es möglich die iptables datei direkt zu editieren, um hier, falls die Befehle nach einem Neustart verworfen werden, dauerhaft zu speichern ?
= /sbin/iptables
mfg
ironist
da sich die Befehle (durch -D statt -I) nun geändert haben ist es ja nichtmehr der selbe Befehl.
Werden diese, vorher eingegebenen (-I) Befehle bei einem Neustart nun verworfen ?
ich habe mir mittels vi die iptables datei angesehen und sehe hier viele sonderzeichen die diese datei fast unleserlich machen, warum ?
ist es möglich die iptables datei direkt zu editieren, um hier, falls die Befehle nach einem Neustart verworfen werden, dauerhaft zu speichern ?
= /sbin/iptables
mfg
ironist
Zuletzt bearbeitet:
jahlives
Benutzer
- Registriert
- 19. Aug. 2008
- Beiträge
- 18.275
- Reaktionspunkte
- 4
- Punkte
- 0
ohne iptables-save überleben die Regeln keinen Reboot.
nach dem iptables-save kannst du in /pfad/zum/file die Regeln auch direkt bearbeiten. Allerdings wenn du dort drin einen Fehler machst kann iptables-restore die gesamten Ketten nicht wiederherstellen und bricht ab
Auf deinem Screenshot kann ich nichts erkennen. Ich vermute aber mal du hast dir mit vi das iptables Kommando selber geöffnet. Und das ist ein Binärfile, drum kannst du nicht viel mehr als kryptische Zeichen sehen
Code:
#Regeln sichern
iptables-save >/pfad/zum/file
#Regeln wiederherstellen
iptables-restore </pfad/zum/fileAuf deinem Screenshot kann ich nichts erkennen. Ich vermute aber mal du hast dir mit vi das iptables Kommando selber geöffnet. Und das ist ein Binärfile, drum kannst du nicht viel mehr als kryptische Zeichen sehen
Ja, hab direkt die iptables datei bearbeitet.
Ok, nun hab ich das iptable prozedere verstanden. Werde dann gleich die 4 neuen befehle ausprobieren.
Vielen dankk dass Du für mich, in sachen iptables, licht in die sache gebracht hast @ jahlives.
Ok, nun hab ich das iptable prozedere verstanden. Werde dann gleich die 4 neuen befehle ausprobieren.
Vielen dankk dass Du für mich, in sachen iptables, licht in die sache gebracht hast @ jahlives.
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
