[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Firewall, die genau eine Webseite ermöglicht



Hallo!

Ich möchte für meinen Sohn einen Account einrichten, von dem er per Whitelist
genau eine Webseite (phase-6.de, ein Vokabelprogramm) aufrufen kann,
und ansonsten möglichst gar nichts.

Andere Accounts auf dem Rechner brauchen vollen Netzzugang.

Ich habe mit iptables eine Chain PHASE6 eingerichtet für alle Pakete, die outging sind und dem Benutzer phase6 gehören.

# alles löschen:
iptables -F
iptables -X
# eine neue Chain fuer Phase 6
iptables -N PHASE6
# Absprung: alle Pakete, die von phase6 kommen:
iptables -A OUTPUT -m owner --uid-owner phase6 -j PHASE6


Was ich glaube zu brauchen, bekommt eine ACCEPT -Regel:

# Zugriffe auf lokale Ressourcen zulassen
iptables -A PHASE6 -d 127.0.0.0/8 -j ACCEPT
iptables -A PHASE6 -d 192.168.178.1 -j ACCEPT        .. das ist die Fritzbox
# Phase 6 selbst
iptables -A PHASE6 -d phase-6.de -j ACCEPT
iptables -A PHASE6 -dwww.phase-6.de  -j ACCEPT
iptables -A PHASE6 -d lernen.phase-6.de -j ACCEPT

# was Phase 6 (anscheinend) noch braucht
iptables -A PHASE6 -d static.zanox.com -j ACCEPT
iptables -A PHASE6 -d api.zanox.com -j ACCEPT
iptables -A PHASE6 -d bat.bing.com -j ACCEPT

Alles, was am Ende der Verarbeitung der Kette übrigbleibt, LOG und DROP

# was jetzt noch in der Chain ist: loggen und verwerfen
iptables -A PHASE6 -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped for Phase6: " --log-level 4
iptables -A PHASE6 -j DROP


Der Benutzer phase6 kann diese Webseite benutzen, so weit ist alles OK.

Aber warum ermöglicht diese Einstellung ihm einen Zugriff auf https://www.youtube.com?
Dass das nicht geht, ist ja gerade der Sinn des Spiels.

Gibt es einen eleganteren Weg, mein Problem zu lösen?

Vielen Dank für Hinweise und Überlegungen!
Hartmut


Reply to: