[fli4l] IP Bereich für Inet sperren v3.6.2

Christoph Schulz fli4l at kristov.de
Fr Dez 5 08:46:26 CET 2014 

Hallo!

Frank Stroeter schrieb:

> Also gibt es in der base.txt keine Möglichkeit einen IP Adressbereich
> einzutragen?

Doch, sofern dieser Bereich ein (Sub-)Netz darstellt.

> Muß ich dann
> PF_FORWARD_1=’192.168.6.12 DROP’
> PF_FORWARD_2=’192.168.6.13 DROP’
> PF_FORWARD_3=’192.168.6.14 DROP’
> PF_FORWARD_4=’192.168.6.15 DROP’
> usw.
> eintragen?

Ja, es sei denn, du platzierst alle betreffenden Rechner in ein eigenes 
Subnetz. Beispiel:

PF_FORWARD_1='192.168.6.8/29 DROP'

Dies wird alle Pakete verwerfen, die von Adressen kommen, die nach Löschen 
der untersten drei Adressbits (32 - 29 = 3) die Adresse 192.168.6.8 ergeben. 
Dies betrifft also die folgenden acht Adressen:

192.168.6.8, 192.168.6.9, 192.168.6.10, 192.168.6.11, 192.168.6.12, 
192.168.6.13, 192.168.6.14, 192.168.6.15

/29 bildet immer Achtergruppen (die untersten drei Bits werden ignoriert und 
2^3 = 8), /30 Vierergruppen (die untersten zwei Bits werden ignoriert, und 
2^2=3) und /28 Sechzehnergruppen (32 - 28 = 4, 2^4 = 16). Wie du siehst, 
sind das aber nicht beliebige Bereiche, sondern sie müssen jeweils an einer 
Vierer-, Achter-, Sechzehnergrenze etc. beginnen. Du kannst also einen 
Bereich 192.168.6.128-135 gut mit Hilfe eines /29er Netzes erschlagen 
(Übungsaufgabe: welches Netz ist das?), einen Bereich 192.168.6.129-136 aber 
nicht, weil der Beginn nicht an einer durch acht teilbaren Adresse liegt.

Wenn du eine überschaubare Anzahl von Hosts im Netz hast und diese Namen 
haben, würde ich eher empfehlen, die Regeln einzeln und mit Namen zu 
formulieren, also:

PF_FORWARD_1='@tv DROP'
PF_FORWARD_2='@iphone DROP'
...

Alternativ erlaubst du den Rechnern, die "durch" dürfen, via ACCEPT die 
Paketweiterleitung und sperrst dann pauschal den Rest, also:

PF_FORWARD_1='@pc ACCEPT'
PF_FORWARD_2='@laptop ACCEPT'
PF_FORWARD_3='DROP'

Das hat den Vorteil, dass neue Geräte erstmal nicht in andere Netze dürfen, 
bis du sie explizit freigeschaltet hast. Die letzte Regel kannst du sogar 
weglassen, wenn du PF_FORWARD_POLICY='DROP' gesetzt hast.


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]

Mehr Informationen über die Mailingliste Fli4L