Jens Leilich schrieb in 1,7K (41 Zeilen):

ich möchte einzelnen Rechnern den Zugang zum Internet verbieten oder erlauben können. Dazu habe ich folgendes getan:

Rechner E00, wegerich www-proxy E01 usw 192.168.8.240--+ 192.168.8.241--+---192.168.8.8<-->192.168.254.1----192.168.254.2<-->Internet usw.

Wir haben im Netz interne IP-Adressen, wegerich im internen Netz ist aus Accountinggründen notwendig, da hängen noch 2 andere Schulen an nicht gezeichneten Netzwerkkarten. Unser www-proxy wird nicht von uns administriert, da wollen wir nix dran ändern. Es läuft squid, Masquerading ist auf allen Ports ebenfalls aktiviert, so dass man auch ohne Proxy ins Internet kann.

Ich will nun auf wegerich per Forwarding-Regeln einem bestimmten Rechner den http-Zugang komplett verbieten. Dazu habe ich folgendes überlegt: # Sperre Proxy, das funktioniert /sbin/ipfwadm -F -a reject -P tcp -S e00 -D 192.168.251.2 81 # Zugriff auf Schulserver freigeben, das funktioniert auch /sbin/ipfwadm -F -a accept -S e00 -D 192.168.251.2 # Sperre Rest der Welt, das funktioniert leider NICHT /sbin/ipfwadm -F -a reject -P tcp -S e00 -D 0.0.0.0 Warum bringt die letzte Regel nichts und man kann trotzdem noch ohne Proxy ins Internet?

Greift e00 auf 0.0.0.0 zu? Nein, sondern auf z.B. 1.2.3.4. Vielleicht hilft ein 0/0? (http://www.dreamwvr.com/ipfwadm-faq/ipfwadm-faq-4.html#ss4.10) Oder du machst dich mit ipchains (dem Mechanismus in 2.2.X) bekannt, ipfwadm ist nur ein Wrapper darauf. (http://www.linuxpowered.com/html/tutorials/IPCHAINS-HOWTO.html) Auf der dritten Seite aendert sich das wieder bei 2.4.X ... -Wolfgang --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com