JackCarver
Well-known Member
Gut die whoer Route fehlt schonmal, dann zeigt whoer natürlich die VPN IP
Tipps & Tricks: Linux absichern mit den iptables
- Thread starter JackCarver
- Start date
anonymous1
Member
ja gut. aber die route von whoer.net habe ich ja gesetzt (siehe oberer Post)
Habe ich dort was falsches einegeben?
irgendwie wird ja keine von den routen angezeigt die ich gesetzt habe.
Ist ja alles ziemlich komplex
Habe ich dort was falsches einegeben?
irgendwie wird ja keine von den routen angezeigt die ich gesetzt habe.
Ist ja alles ziemlich komplex
JackCarver
Well-known Member
Einzelne IPs sind kein Netz sondern hosts, probiere daher mal statt -net ein -host
anonymous1
Member
Klappt irgendwie auch nicht.
ip route list:
Routen:
ip route list:
Routen:
anonymous1
Member
Habe gerade nochmal rumgesucht und bin auf diese Seite gestossen http://www.cyberciti.biz/tips/configuring-static-routes-in-debian-or-red-hat-linux-systems.html
Folgende Zeilen sind in meiner Inerface Datei nicht vorhanden:
address 192.168.1.2 netmask 255.255.255.0 gateway 192.168.1.254 Vielleicht liegt es daran. Probiere ich Morgen mal.
Folgende Zeilen sind in meiner Inerface Datei nicht vorhanden:
address 192.168.1.2 netmask 255.255.255.0 gateway 192.168.1.254 Vielleicht liegt es daran. Probiere ich Morgen mal.
JackCarver
Well-known Member
Die netmask passt auch nicht zu nem Host, Versuch das ganze mal ohne netmask: route add -host 95.211.121.18 gw meine-ip eth0 und vor allem Teste die Befehle erstmal im Terminal ohne die Methode über die Interfaces. Dann siehst du besser fehlerausgaben und kannst testen ob das klappt und wenn das funktioniert, dann trag sie in die Interfaces ein.
anonymous1
Member
Jetzt klappt fast alles bzw. was mich noch ein bischen stoert ist, das ich nach dem booten ohne vpn nicht alle Seiten aufrufen kann die ich manuell als Ausnahme hinzugefuegt habe.
Koennte das mit https zusammenhaengen? Da fast alle Seiten auf der Homepage https nutzen.
Ansonsten mit den Routen klappts jetzt.
whoer.net zeigt mir "meine IP" an und "ip route list" zeigt auch alle Routen an die ich gesetzt habe.
Habe jede einzeln per IP ueberprueft.
Koennte das mit https zusammenhaengen? Da fast alle Seiten auf der Homepage https nutzen.
Ansonsten mit den Routen klappts jetzt.
whoer.net zeigt mir "meine IP" an und "ip route list" zeigt auch alle Routen an die ich gesetzt habe.
Habe jede einzeln per IP ueberprueft.
JackCarver
Well-known Member
Wenn du diese Seiten per IP zu den Ausnahmen hinzugefügt hast, dann hat das nichts mit dem Port zu tun. HTTPS ist ja nur ein Hinweis für den Browser, dass Port 443 TCP verwendet werden soll.
Gehen diese Seiten denn gar nicht auf oder nur teilweise? Falls gar nicht, dann nochmal die IP überprüfen, dass das auch die richtige für die Seite ist.
Gehen diese Seiten denn gar nicht auf oder nur teilweise? Falls gar nicht, dann nochmal die IP überprüfen, dass das auch die richtige für die Seite ist.
anonymous1
Member
Habe jetzt mal jede einzelne Seite ueberprueft.
Wie gesagt, gestestet mit gestartet IPTables und Routen ohne VPN Verbindung.
Weil ich denke um wirklich 100% sicher zu sein das alles funktioniert, muesste ich die Seiten die ich als Ausnahme gesetzt habe auch ohne VPN Verbindung aufrufen koennen.
Da diese ja am VPN vorbeigeleitet werden. Oder habe ich da jetzt einen Denkfehler?
Hier jedenfalls das Ergebnis von meinem Test:
Alternate 195.234.50.235 wird geladen
Buecher.de 195.143.188.164 wird teilw. geladen
Caseking 80.237.217.71 wird teilw. geladen
Conrad 128.65.209.54; 56; 57; 58 wird geladen
Druckerzubehoer 80.87.113.11 wird teilw. geladen
Ebay 77.109.147.163; 168 wird nicht geladen
OB Sparkasse 195.140.42.97 wird nicht geladen
OTTO 194.195.11.30 wird nicht geladen
WS Autoteile 176.9.133.165 wird geladen
OB Deutsche Bank 129.35.230.2 wird nicht geladen
OB Postbank 62.153.105.15 wird nicht geladen
Bei Teilweise geladen, wird nur der Text geladen ohne Hintergrundgrafik usw.
Wie gesagt das ganze ohne gestarteten VPN.
Mit VPN Verbindung werden alle Seiten geladen.
Wie gesagt, gestestet mit gestartet IPTables und Routen ohne VPN Verbindung.
Weil ich denke um wirklich 100% sicher zu sein das alles funktioniert, muesste ich die Seiten die ich als Ausnahme gesetzt habe auch ohne VPN Verbindung aufrufen koennen.
Da diese ja am VPN vorbeigeleitet werden. Oder habe ich da jetzt einen Denkfehler?
Hier jedenfalls das Ergebnis von meinem Test:
Alternate 195.234.50.235 wird geladen
Buecher.de 195.143.188.164 wird teilw. geladen
Caseking 80.237.217.71 wird teilw. geladen
Conrad 128.65.209.54; 56; 57; 58 wird geladen
Druckerzubehoer 80.87.113.11 wird teilw. geladen
Ebay 77.109.147.163; 168 wird nicht geladen
OB Sparkasse 195.140.42.97 wird nicht geladen
OTTO 194.195.11.30 wird nicht geladen
WS Autoteile 176.9.133.165 wird geladen
OB Deutsche Bank 129.35.230.2 wird nicht geladen
OB Postbank 62.153.105.15 wird nicht geladen
Bei Teilweise geladen, wird nur der Text geladen ohne Hintergrundgrafik usw.
Wie gesagt das ganze ohne gestarteten VPN.
Mit VPN Verbindung werden alle Seiten geladen.
JackCarver
Well-known Member
Das ist korrekt, die Ausnahmen müsstest du auch ohne VPN aufrufen können. Bei teilw. geladen vermute ich, dass die Bilder auf anderen Servern liegen, ergo ist nur die Hauptseite mit Text erlaubt, da die anderen Server nicht erlaubt sind lädt kein Bild. Wenn es gar nicht lädt ist wahrscheinlich die IP zur Seite falsch oder n Redirect versucht dich danach auf ne andere Seite zu leiten, wo der Content liegt was aber wegen anderer IP nicht geht
anonymous1
Member
Kann man irgendwie rausfinden auf welchen Servern bzw. IP's die Verschiedenen Webseiten liegen?
Bei Conrad z.b. wurden mir alle IP's im Iceweasel Plugin "World IP" angezeigt.
Bei den Verschiedenen Online Banking Seiten usw. wurde mir jeweils immer nur eine IP angezeigt.
Bei Conrad z.b. wurden mir alle IP's im Iceweasel Plugin "World IP" angezeigt.
Bei den Verschiedenen Online Banking Seiten usw. wurde mir jeweils immer nur eine IP angezeigt.
JackCarver
Well-known Member
Wenn dieses PlugIn bei bestimmten Seiten nur eine IP anzeigt, du aber trotzdem Probs hast diese zu erreichen, funktioniert es wohl nicht immer. Ich muss da passen, da ich auch kein Tool kenne, das dir korrekt die IPs zu allen in Frage kommenden Servern einer Seite liefert um diese zu den Ausnahmen hinzuzufügen.
Das einzige was ich sagen kann, ist dass der Fehler da wahrscheinlich nicht auf deiner Seite liegt, sondern dass es wegen eines zu verteilten Webs nicht so wirklich überall funktioniert
Das einzige was ich sagen kann, ist dass der Fehler da wahrscheinlich nicht auf deiner Seite liegt, sondern dass es wegen eines zu verteilten Webs nicht so wirklich überall funktioniert
JackCarver
Well-known Member
anonymous1
Member
Mein Cousin war gestern zu Besuch.
Er meinte das wuerde daran liegen, das der Inhalt von einer Webseite nicht nur auf der oeffentlichen IP liegt die mir das Plugin im Iceweasel anzeigt.
Sondern wuerde auch auf Privaten IP's liegen. Und diese zu Routen waere teschnich nicht möglich.
Zumindest nicht mit IPv4. In ein paar Jahren wenn alles auf IPv6 umgestellt ist, koennte das mit dem Routing funktionieren, weil es dann keine privaten IP's mehr gibt sondern nurnoch Oeffentliche.
Also genau das was du auch im vorherigen Post geschrieben hast.
Er meinte das wuerde daran liegen, das der Inhalt von einer Webseite nicht nur auf der oeffentlichen IP liegt die mir das Plugin im Iceweasel anzeigt.
Sondern wuerde auch auf Privaten IP's liegen. Und diese zu Routen waere teschnich nicht möglich.
Zumindest nicht mit IPv4. In ein paar Jahren wenn alles auf IPv6 umgestellt ist, koennte das mit dem Routing funktionieren, weil es dann keine privaten IP's mehr gibt sondern nurnoch Oeffentliche.
Also genau das was du auch im vorherigen Post geschrieben hast.
anonymous1
Member
Hi,
ich hoffe ich nerv nicht
Ich hatte vor kurzem nochmal mit meinem Cousin gesprochen.
Er meinte, man koennte den kompletten Traffic per IP-Tables zu privoxy weiterleiten, un privoxy wuerde dann die Verwaltung per Domainnamen regeln.
Und dann den Traffic entweder zum VPN oder daran vorbei Leiten.
Kannst du mir da vlt. ein Skript bauen??
Und er meinte noch ob man das per Software regeln kann die nicht auf OSI-Schicht 4 sondern 5-7 arbeitet.
ich hoffe ich nerv nicht
Ich hatte vor kurzem nochmal mit meinem Cousin gesprochen.
Er meinte, man koennte den kompletten Traffic per IP-Tables zu privoxy weiterleiten, un privoxy wuerde dann die Verwaltung per Domainnamen regeln.
Und dann den Traffic entweder zum VPN oder daran vorbei Leiten.
Kannst du mir da vlt. ein Skript bauen??
Und er meinte noch ob man das per Software regeln kann die nicht auf OSI-Schicht 4 sondern 5-7 arbeitet.
JackCarver
Well-known Member
Du kannst in nem lokalen Proxy nicht entscheiden was über VPN soll oder nicht, das muss vorher übers Routing geschehen. Der Proxy ist der Route nachgeordnet. Es ist Möglich über die iptables alles auf nen Port zu leiten, an dem zb dein Proxy lauscht, das nennt man nen transparenten Proxy, da du in deinen Progs keinen Proxy mehr einstellen musst. Danach geht's aber über VPN weiter es sei denn du änderst die Route womit wir wieder bei dem geschilderten Problem sind.
JackCarver
Well-known Member
Die praktikabelste Lösung für dich scheint mir ne virtuelle Maschine zu sein, in der du VPN laufen hast und in der du alles machst was kritisch ist und über VPN soll. In deinem Hostsystem läuft dann kein VPN. Diese Lösung ist simpel und du kannst ohne Probs wählen was über VPN soll und was nicht.
JackCarver
Well-known Member
Oder andersrum, im Host VPN im Gast ohne
anonymous1
Member
Ich hatte gleichzeitig auch mal in einem DebianForum nachgefragt.
Und dort hat mir jemand folgendes gentwortet:
Und dort hat mir jemand folgendes gentwortet:
JackCarver
Well-known Member
Das halte ich gelinde gesagt für ein Gerücht. Er soll dir da mal ne funktionierende Lösung geben. Vom Proxy zum VPN Forwarden ist auch komplett unnötig, da eh alles vom Proxy aus über VPN geht. Das liegt nunmal am Routing und daran kann der Proxy nunmal nix ändern. Die Entscheidung wo was hin soll muss viel früher erfolgen und da musst du Entscheidungen treffen welches Paket welche Route nehmen soll, womit wir wieder beim Problem wären. Ich kann dir echt nur raten das mit der virtuellen Maschine zu machen, denn das funktioniert wenigstens.