Kirjoittaja Aihe: LAN etsinnän / käytön blokkaus Lubuntu 15.04 x64  (Luettu 1901 kertaa)

Tumphu

  • Käyttäjä
  • Viestejä: 20
    • Profiili
Mors,

Onko mahdollista IPTables tms. toiminnolla estää Lubuntu 15.04 koneesta lähiverkon käyttö?

Eli siis niin että kyseinen kone olisi vain surffikäyttöön, mutta siitä estettäisiin kaikki LAN-LAN liikenne (paitsi tietysti oletusyhdyskäytävä)?

Käyttötarkoitus ihan puhtaasti siis vapaapääsyinen surffikone, mutta en halua että siitä pääsee nuuskimaan muita koneita verkossa.
Kokeneempi käyttäjä tietysti varmasti pääsee ohi estojen, mutta peruskäytön estot tarvittaisiin ettei ihan helpolla tuo onnistuisi.

Osaako joku neuvoa?

--
Tuomo

Jos asia ei oleellisesti muutu, käytä Muokkaa-toimintoa. Ns. nostoviestit poistetaan -Storck
« Viimeksi muokattu: 08.11.15 - klo:12.10 kirjoittanut Storck »

nm

  • Käyttäjä
  • Viestejä: 16426
    • Profiili
Vs: LAN etsinnän / käytön blokkaus Lubuntu 15.04 x64
« Vastaus #1 : 08.11.15 - klo:13.51 »
Oikeaoppisesti tämä pitäisi hoitaa yhdyskäytävän/reitittimen puolella, jotta koneen verkkoasetusten säädöillä ei olisi vaikutusta asiaan.

Mutta, voit estää liikenteen tiettyyn verkkoalueeseen reititystaulun säädöillä. Tutki ensin, miltä reititystaulu näyttää ennen toimenpiteitä:

Koodia: [Valitse]
route
Listaus voisi näyttää esimerkiksi tältä:
Koodia: [Valitse]
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.168.1.1     0.0.0.0         UG    0      0        0 wlan0
192.168.0.0     *               255.255.0.0     U     1      0        0 wlan0

Varmista myös, että pystyt pingaamaan jotain lähiverkossa olevaa toista konetta, jotta myöhemmin voidaan tarkistaa, onnistuuko pingaus eston jälkeen.


Yllä olevassa tapauksessa liikenne lähiverkkoon 192.168.0.0/255.255.0.0 voidaan estää näillä komennoilla:

Koodia: [Valitse]
sudo route del -net 192.168.0.0 netmask 255.255.0.0 dev wlan0
sudo route add -net 192.168.0.0 netmask 255.255.0.0 reject

Sovella tätä ja varmista, että yhteydet Internetiin toimivat, mutta et pysty pingaamaan muita lähiverkon koneita.


Kun toimivat reitityssäännöt löytyvät, ne pitää vain asettaa ajettavaksi aina kun NetworkManager käynnistää verkon tai luo yhteyden. Luodaan skripti:

Koodia: [Valitse]
sudo -i gedit /etc/NetworkManager/dispatcher.d/99blocklan
Sisällöksi tämä sovellettuna omaan verkkoympäristöösi:

Koodia: [Valitse]
#!/bin/sh
#
# Block connections to local network

route del -net 192.168.0.0 netmask 255.255.0.0 dev wlan0
route add -net 192.168.0.0 netmask 255.255.0.0 reject

Tallenna tiedosto ja sulje gedit.

Aseta skripti ajettavaksi:

Koodia: [Valitse]
sudo chmod a+x /etc/NetworkManager/dispatcher.d/99blocklan
Tarkista tiedoston oikeudet:

Koodia: [Valitse]
ls -l /etc/NetworkManager/dispatcher.d/
Lainaus
yhteensä 8
-rwxr-xr-x 1 root root 1131 huhti  9  2014 01ifupdown
-rwxr-xr-x 1 root root  125 marra  8 13:43 99blocklan


Tämän jälkeen reitityssäätöjen pitäisi tulla voimaan aina, kun verkkoyhteys luodaan. Jos esto halutaan tehdä vain kotiverkossa, mutta ei muualla, pitäisi skriptiin lisätä jokin tunnistusmekanismi.
Jos vaikuttaa siltä, että skriptiä ei suoriteta automaattisesti, tarkista järjestelmälokista (/var/log/syslog), onko herjaako NetworkManager jotain asiaan liittyvää.