Ga naar inhoud

Tijdsrestrictie in iptables?


anoniem

Aanbevolen berichten

De bedoeling is dat gebruikers tussen een bepaalde tijd het internet op kan. Een klant van ons heeft een Linux firewall draaien (Red Hat 7.1) en aangezien ze daar continu-diensten draaien, willen ze ervoor zorgen dat de nachtploeg niet zomaar gaat zitten internetten. De mail moet echter nog wel verstuurd kunnen worden en binnen kunnen komen op de Exchange server. Een pakket als ISA-server is ideaal voor hun, ik heb dat al een aantal malen voorgesteld, maar ze vinden het helaas te duur. De vraag is dus of met hun firewall hetzelfde mogelijk is als met ISA-server, namelijk op bepaalde tijden internet blokkeren, terwijl essentiele poorten gewoon open blijven.
Link naar reactie
Twee firewallscripten en een paar cronjobjes, denk ik. Je moet dan wel heel goed kijken naar je veiligheid. Als je een nieuw firewallscript start moet je eigenlijk de oude regels eerst wissen. Je bent dan een fractie van een seconde onbeschermd. Maar misschien kan het ook wel door afwisselend poort 80 open en weer dicht te zetten. Bij iptables werkt het zo dat een nieuwe regel een voorgaande overschrijft, maar een script wordt van boven naar beneden gelezen. Je hebt dus kans dat de oude regel niet voerschreven wordt en de boel alsnog geblocked blijft. Het wordt dus een beetje proberen denk ik. Misschien kan het ook wel met een externe parmeter die de waarde 0 of 1 heeft. Het script veranderd dan niet en bij elk pakketje wordt dan gekeken of poort 80 open staat (bv. INTERNET_ALLOWED=1). INTERNET_ALLOWED is dan gewoon een export-variabele, die je aanpast met een cronjob.
Link naar reactie
[quote:d77b67c67e="KayJay"]12:00 middagpauze: Cronjob 1 : flushen die iptables Cronjob 2: iptables erin met 8080 open 13:00 aan het werk Cronjob 3:(cronjob1) flushen die iptables Cronjob 4: pot dicht die vuurmuur[/quote:d77b67c67e] Dat zei ik ook al min of meer. Om veiligheidsproblemen volledig uit te sluiten, zou je de internetverbinding eventjes tijdelijk kunnen afsluiten totdat de firewall weer in de lucht is. Ineternet mag pas weer open als firewall-script geen fouten geeft. Maar, volgens mij moet het ook kunnen met een externe variabele, en dan blijven firewall-regels onveranderd draaien en hoeft de internetverbinding ook niet plat.
Link naar reactie
Je kunt een aparte ketting aanmaken. Na enkele regels stuur je alle pakketten door die ketting. Op bepaalde tijden hou je die ketting leeg. iptables zal dan terugkeren naar de oorspronkelijke ketting, en daar kun je regels alsnog laten droppen. Door in die ketting bepaalde regels te accepteren, kun je tijdelijk bepaalde pakketten doorlaten. Je maakt een cron-script die die ketting leegt danwel vult.
Link naar reactie
[quote:dfec69cf97="wstolk"]Ik ben geen ster in tables maar volgens mij kun je gewoon EEN regel fluxhen en daarna een nieuwe op die plaats invoegen. Hiervoor maak je drie scrippies en dan hoef je dus verder niets dan alleen poort 80 en 8080 open/dicht te gooien.[/quote:dfec69cf97]Dat kan met[code:1:dfec69cf97]iptables -R [ketting] [regelnr] [nieuwe specificatie][/code:1:dfec69cf97] Dat gaat goed zolang je de firewall maar niet aanpast. Als je bijvoorbeeld een regel aan het begin van de firewall toevoegd moet ook de regelnummer in de script veranderd worden. Vooral als er veel regels moeten worden veranderd denk ik dat een nieuwe ketting handiger is. Als het slechts om enkele regels gaat (en je de firewall niet te vaak bijwerkt) is 'iptables -R' duidelijker.
Link naar reactie
Ik ben niet echt een ster in firewalls met Linux. Wat dus de bedoeling is, is dat tussen 7 en 18 uur de gebruikers kunnen internetten zoals ze dat nu 24/7 kunnen en tussen 18 en 7 uur moet internet voor de gebruikers dicht, maar moet er uiteraard nog wel e-mail naar binnen kunnen. Tussen die tijden de hele internetverbinding platgooien is dus geen optie.
Link naar reactie
beetje lastig... het makkelijkste is iid om 2 cronjobs te nemen de ene stopt en start de firewall in de dag-modus de tweede stopt en start de firewall in nacht-modus als je 's nachts alleen mail nodig hebt moet je poort 25 en 110 open zetten (voor pop3s is het poort 995) uiteraard moet je dns open houden... ;) (zorg wel overigens dat je de stop scripts met een echo "0" > /proc/sys/net/ipv4/ip_forward begint)
Link naar reactie
  • 2 maanden later...

Om een reactie te plaatsen, moet je eerst inloggen

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Herstel opmaak

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

  • Populaire leden

    Er is nog niemand die deze week reputatie heeft ontvangen.

  • Leden

    Geen leden om te tonen

×
×
  • Nieuwe aanmaken...