Router-ports zeitabhängig schließen

[Georg Sandkühler]

Am Donnerstag, 2. Dezember 2004 00:17 schrieb Jan 'Red Bully' Seiffert:
> Nabend,
>
> Georg Sandkühler schrieb:
> > Hallo *,
> >
> > ich habe hier folgendes Problem:
> >
> > Unsere Tochter hat den ICQ-Chat entdeckt :-(
>
> Kopf hoch...
>
> > Jetzt möchte ich den Zugang gerne auf 2 Stunden pro Tag begrenzen, ohne
> > gleich den gesamten Internet-Zugang zu blockieren.
> >
> > Ich habe hier einen alten 486er mit einem Disketten-fli4l-Router laufen
> > und stelle mir vor, dass ich dort einzelne Ports abhängig von der
> > internen Uhr freigebe oder eben nicht. Geht sowas?
>
> Radio Eriwan: Im Prinzip ja, aber....
> Ich kenn mich jetzt nicht so mit fli4l aus... hast du iptables (oder
> vergleichbar)? Hast du Cron??? Cron ist hier der Knackpunkt!
> Oder moment, ein anderer Rechner der durchlaeuft (File-/Druckserver?)
> mit Cron knipst die regeln ueber SSH an und aus (public-key-auth).

Antwort a: Ja, fli4l hat nen crond-Paket, das ich nur nachinstallieren muss.
Antwort b: einen Server habe ich auch, der läuft durch.

> Dann wirds einfach:
> Mittags Filterregel fuer /etc/services:aim (5190?) loeschen, abends
> wieder hinzufuegen.
> Vorausgesetzt, deine Tochter hat noch nicht genug "kriminelle" Energie,
> es ueber Proxy zu versuchen oder ungewoehnliche Ports zu benutzen
> (Windows? orginal ICQ-Soft? Tippe da kann man das eh nicht umstellen).

Windows, original ICQ-Software, kriminelle Energie relativ niedrig, Fachwissen 
Null...

> ungetestet: (Cronregeln in der Crontab oder so versenken)
> // ab 14:00 jeden Tag, icq erlaubt
> 14 0 * * * /pfad/zu/script/loesche_icq_block.sh
> // ab 16:00 jeden Tag in der woche ist schluss mit chatten
> 16 0 * * 1-5 /pfad/zu/script/setze_icq_block.sh
> // am Wochenende darf sie laenger ;)
> 17 00 * * 6-7 /pfad/zu/script/setze_icq_block.sh

bis hierher verstanden...

> und dann mit iptables sowas wie:
> > iptables -t nat -A PREROUTING -i <eth-intern> -p tcp -m tcp --source
> > <IP-deiner-Tochter> --dport 5190 -j REJECT --reject-with tcp-reset
>
> und zum loeschen:
> > iptables -t nat -D PREROUTING -i <eth-intern> -p tcp -m tcp --source
> > <IP-deiner-Tochter> --dport 5190 -j REJECT --reject-with tcp-reset

und das kommt dann in die Skripte "loesche_icq_block.sh" bzw. 
"setze_icq_block.sh", oder?

> nur bei den Regeln, da bin ich mir garnich sicher, weiss ja auch nich
> was fli4l da zu bieten hat, basiert doch noch auf Kernel 2.2? Nun, man
> hilft...

Ja, fli4l berucht auf Kernel 2.2.19

> Oehm, achja, UDP vielleicht auch noch ausknippsen, sicher ist sicher.

Hmm, jetzt muss ich wohl doch anfangen, mich tiefer in die Sache 
einzuarbeiten; UDP ausknipsen=????

> Interressant werden dann noch Spielchen mit random }:>, ICQ geht zu
> zufaelligen Zeiten...
> Dann kann man sich immer Schulterzuckend hinstellen: "Weiss auch nich
> warums nicht laeuft, also ich komm raus, muss an ICQ liegen...."

Geniale Idee eigentlich, aber in diesem Fall nicht notwendig; unsere Tochter 
weiß, dass ich dabei bin, ihre Chat-Zeiten zu beschneiden. Gibt zwar Gemaule, 
aber nur halbherzig...

> Hoffe ich konnte dir helfen,

Ja, danke :-)

> Gruss
> 	Jan
> --
> Unix ist echt Scheisse, einmal eingerichtet laeuft es einfach.
> Wie soll man da Erfahrung sammeln -- sfr in #debian.de

-- 
Mit freundlichen Grüßen aus Bad Pyrmont

Ihr Energiekostensenker

Ingenieurbüro SK Umwelt
Dipl.-Ing. Georg Sandkühler
Wacholderweg 16
31812 Bad Pyrmont
T 05281 960 630
F 05281 960 631
M 0171 800 1608
E sk at sk-umwelt.de
U www.sk-umwelt.de
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: signature
URL: <http://lug-owl.de/pipermail/linux/attachments/20041205/382e34d5/attachment.sig>