Tipps & Tricks: Linux absichern mit den iptables

ja gut. aber die route von whoer.net habe ich ja gesetzt (siehe oberer Post)

#Test Whoer.net
up route add -net 95.211.121.18 netmask 255.255.255.0 gw "Meine IP" eth0
down route delete -net 95.211.121.18 netmask 255.255.255.0 gw "Meine IP" eth0

Habe ich dort was falsches einegeben?
irgendwie wird ja keine von den routen angezeigt die ich gesetzt habe.
Ist ja alles ziemlich komplex :)
 
Klappt irgendwie auch nicht.
ip route list:

0.0.0.0/1 via 10.24.11.129 dev tun0
default via "meine ip" dev eth0
10.24.11.128/25 dev tun0 proto kernel scope link src 10.24.11.131
128.0.0.0/1 via 10.24.11.129 dev tun0
176.10.115.98 via 1"meine ip" dev eth0
192.168.178.0/24 dev eth0 proto kernel scope link src 192.168.178.20

Routen:

#Alternate
up route add -host 195.234.50.235 netmask 255.255.255.0 gw "meine ip" eth0
down route delete -host 195.234.50.235 netmask 255.255.255.0 gw "meine ip" eth0

#Test Whoer.net
up route add -host 95.211.121.18 netmask 255.255.255.0 gw "meine ip" eth0
down route delete -host 95.211.121.18 netmask 255.255.255.0 gw "meine ip" eth0

#Onlinebanking
up route add -host 195.140.42.97 netmask 255.255.255.0 gw "meine ip" eth0
down route delete -host 195.140.42.97 netmask 255.255.255.0 gw "meine ip" eth0
 

JackCarver

Well-known Member
Die netmask passt auch nicht zu nem Host, Versuch das ganze mal ohne netmask: route add -host 95.211.121.18 gw meine-ip eth0 und vor allem Teste die Befehle erstmal im Terminal ohne die Methode über die Interfaces. Dann siehst du besser fehlerausgaben und kannst testen ob das klappt und wenn das funktioniert, dann trag sie in die Interfaces ein.
 
Jetzt klappt fast alles bzw. was mich noch ein bischen stoert ist, das ich nach dem booten ohne vpn nicht alle Seiten aufrufen kann die ich manuell als Ausnahme hinzugefuegt habe.
Koennte das mit https zusammenhaengen? Da fast alle Seiten auf der Homepage https nutzen.

Ansonsten mit den Routen klappts jetzt.
whoer.net zeigt mir "meine IP" an und "ip route list" zeigt auch alle Routen an die ich gesetzt habe.
Habe jede einzeln per IP ueberprueft.
 

JackCarver

Well-known Member
Wenn du diese Seiten per IP zu den Ausnahmen hinzugefügt hast, dann hat das nichts mit dem Port zu tun. HTTPS ist ja nur ein Hinweis für den Browser, dass Port 443 TCP verwendet werden soll.
Gehen diese Seiten denn gar nicht auf oder nur teilweise? Falls gar nicht, dann nochmal die IP überprüfen, dass das auch die richtige für die Seite ist.
 
Habe jetzt mal jede einzelne Seite ueberprueft.
Wie gesagt, gestestet mit gestartet IPTables und Routen ohne VPN Verbindung.
Weil ich denke um wirklich 100% sicher zu sein das alles funktioniert, muesste ich die Seiten die ich als Ausnahme gesetzt habe auch ohne VPN Verbindung aufrufen koennen.
Da diese ja am VPN vorbeigeleitet werden. Oder habe ich da jetzt einen Denkfehler?
Hier jedenfalls das Ergebnis von meinem Test:

Alternate 195.234.50.235 wird geladen
Buecher.de 195.143.188.164 wird teilw. geladen
Caseking 80.237.217.71 wird teilw. geladen
Conrad 128.65.209.54; 56; 57; 58 wird geladen
Druckerzubehoer 80.87.113.11 wird teilw. geladen
Ebay 77.109.147.163; 168 wird nicht geladen
OB Sparkasse 195.140.42.97 wird nicht geladen
OTTO 194.195.11.30 wird nicht geladen
WS Autoteile 176.9.133.165 wird geladen
OB Deutsche Bank 129.35.230.2 wird nicht geladen
OB Postbank 62.153.105.15 wird nicht geladen

Bei Teilweise geladen, wird nur der Text geladen ohne Hintergrundgrafik usw.
Wie gesagt das ganze ohne gestarteten VPN.
Mit VPN Verbindung werden alle Seiten geladen.
 

JackCarver

Well-known Member
Das ist korrekt, die Ausnahmen müsstest du auch ohne VPN aufrufen können. Bei teilw. geladen vermute ich, dass die Bilder auf anderen Servern liegen, ergo ist nur die Hauptseite mit Text erlaubt, da die anderen Server nicht erlaubt sind lädt kein Bild. Wenn es gar nicht lädt ist wahrscheinlich die IP zur Seite falsch oder n Redirect versucht dich danach auf ne andere Seite zu leiten, wo der Content liegt was aber wegen anderer IP nicht geht
 
Kann man irgendwie rausfinden auf welchen Servern bzw. IP's die Verschiedenen Webseiten liegen?
Bei Conrad z.b. wurden mir alle IP's im Iceweasel Plugin "World IP" angezeigt.
Bei den Verschiedenen Online Banking Seiten usw. wurde mir jeweils immer nur eine IP angezeigt.
 

JackCarver

Well-known Member
Wenn dieses PlugIn bei bestimmten Seiten nur eine IP anzeigt, du aber trotzdem Probs hast diese zu erreichen, funktioniert es wohl nicht immer. Ich muss da passen, da ich auch kein Tool kenne, das dir korrekt die IPs zu allen in Frage kommenden Servern einer Seite liefert um diese zu den Ausnahmen hinzuzufügen.

Das einzige was ich sagen kann, ist dass der Fehler da wahrscheinlich nicht auf deiner Seite liegt, sondern dass es wegen eines zu verteilten Webs nicht so wirklich überall funktioniert
 
Mein Cousin war gestern zu Besuch.
Er meinte das wuerde daran liegen, das der Inhalt von einer Webseite nicht nur auf der oeffentlichen IP liegt die mir das Plugin im Iceweasel anzeigt.
Sondern wuerde auch auf Privaten IP's liegen. Und diese zu Routen waere teschnich nicht möglich.
Zumindest nicht mit IPv4. In ein paar Jahren wenn alles auf IPv6 umgestellt ist, koennte das mit dem Routing funktionieren, weil es dann keine privaten IP's mehr gibt sondern nurnoch Oeffentliche.

Also genau das was du auch im vorherigen Post geschrieben hast.
 
Hi,
ich hoffe ich nerv nicht ;)

Ich hatte vor kurzem nochmal mit meinem Cousin gesprochen.
Er meinte, man koennte den kompletten Traffic per IP-Tables zu privoxy weiterleiten, un privoxy wuerde dann die Verwaltung per Domainnamen regeln.
Und dann den Traffic entweder zum VPN oder daran vorbei Leiten.
Kannst du mir da vlt. ein Skript bauen??
Und er meinte noch ob man das per Software regeln kann die nicht auf OSI-Schicht 4 sondern 5-7 arbeitet.
 

JackCarver

Well-known Member
Du kannst in nem lokalen Proxy nicht entscheiden was über VPN soll oder nicht, das muss vorher übers Routing geschehen. Der Proxy ist der Route nachgeordnet. Es ist Möglich über die iptables alles auf nen Port zu leiten, an dem zb dein Proxy lauscht, das nennt man nen transparenten Proxy, da du in deinen Progs keinen Proxy mehr einstellen musst. Danach geht's aber über VPN weiter es sei denn du änderst die Route womit wir wieder bei dem geschilderten Problem sind.
 

JackCarver

Well-known Member
Die praktikabelste Lösung für dich scheint mir ne virtuelle Maschine zu sein, in der du VPN laufen hast und in der du alles machst was kritisch ist und über VPN soll. In deinem Hostsystem läuft dann kein VPN. Diese Lösung ist simpel und du kannst ohne Probs wählen was über VPN soll und was nicht.
 
Ich hatte gleichzeitig auch mal in einem DebianForum nachgefragt.
Und dort hat mir jemand folgendes gentwortet:

Falls es nur um HTTP Seiten geht einfach vom Browser über einen lokalen Proxy zum VPN forwarden und Ausnahmen festlegen.

Privoxy:

Code: Alles auswählen
forward / vpn.de:8000
forward .seite.de .
forward .seite2.de .



Squid:

Code: Alles auswählen
acl direct-servers dstdomain .seite.de .seite2.de
always_direct allow direct-servers
cache_peer vpn.de parent 8000 0 default no-query no-digest no-netdb-exchange
never_direct allow all
 

JackCarver

Well-known Member
Das halte ich gelinde gesagt für ein Gerücht. Er soll dir da mal ne funktionierende Lösung geben. Vom Proxy zum VPN Forwarden ist auch komplett unnötig, da eh alles vom Proxy aus über VPN geht. Das liegt nunmal am Routing und daran kann der Proxy nunmal nix ändern. Die Entscheidung wo was hin soll muss viel früher erfolgen und da musst du Entscheidungen treffen welches Paket welche Route nehmen soll, womit wir wieder beim Problem wären. Ich kann dir echt nur raten das mit der virtuellen Maschine zu machen, denn das funktioniert wenigstens.
 
Top