Re: Firewall, die genau eine Webseite ermöglicht

To: debian-user-german@lists.debian.org
Subject: Re: Firewall, die genau eine Webseite ermöglicht
From: Christian Schnitz <christian@cnsz.de>
Date: Sat, 14 Apr 2018 23:43:24 +0200
Message-id: <[🔎] 20180414214324.GA3704@tina.invalid>
In-reply-to: <[🔎] 562128e8-f92c-0972-2b59-489394306c49@gmx.de>
References: <[🔎] 562128e8-f92c-0972-2b59-489394306c49@gmx.de>

On Sat, Apr 14, 2018 at 11:38:49AM +0200, Hartmut Niemann wrote:

Ich mag mich irren, aber wäre es nicht besser sich mit dem Sohn
hinzusetzen und die Vokabeln zu lernen?

Sperren für Kids ist häufig sehr zweischneidig.

Selbst wenn nur die eine Website erreichbar ist, holt er sich er alles
andere was ier schauen möchte via Smartphone oder Freunde. 



> Hallo!
> 
> Ich möchte für meinen Sohn einen Account einrichten, von dem er per
> Whitelist
> genau eine Webseite (phase-6.de, ein Vokabelprogramm) aufrufen kann,
> und ansonsten möglichst gar nichts.
> 
> Andere Accounts auf dem Rechner brauchen vollen Netzzugang.
> 
> Ich habe mit iptables eine Chain PHASE6 eingerichtet für alle Pakete, die
> outging sind und dem Benutzer phase6 gehören.
> 
> # alles löschen:
> iptables -F
> iptables -X
> # eine neue Chain fuer Phase 6
> iptables -N PHASE6
> # Absprung: alle Pakete, die von phase6 kommen:
> iptables -A OUTPUT -m owner --uid-owner phase6 -j PHASE6
> 
> 
> Was ich glaube zu brauchen, bekommt eine ACCEPT -Regel:
> 
> # Zugriffe auf lokale Ressourcen zulassen
> iptables -A PHASE6 -d 127.0.0.0/8 -j ACCEPT
> iptables -A PHASE6 -d 192.168.178.1 -j ACCEPT        .. das ist die Fritzbox
> # Phase 6 selbst
> iptables -A PHASE6 -d phase-6.de -j ACCEPT
> iptables -A PHASE6 -dwww.phase-6.de  -j ACCEPT
> iptables -A PHASE6 -d lernen.phase-6.de -j ACCEPT
> 
> # was Phase 6 (anscheinend) noch braucht
> iptables -A PHASE6 -d static.zanox.com -j ACCEPT
> iptables -A PHASE6 -d api.zanox.com -j ACCEPT
> iptables -A PHASE6 -d bat.bing.com -j ACCEPT
> 
> Alles, was am Ende der Verarbeitung der Kette übrigbleibt, LOG und DROP
> 
> # was jetzt noch in der Chain ist: loggen und verwerfen
> iptables -A PHASE6 -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped for Phase6: " --log-level 4
> iptables -A PHASE6 -j DROP
> 
> 
> Der Benutzer phase6 kann diese Webseite benutzen, so weit ist alles OK.
> 
> Aber warum ermöglicht diese Einstellung ihm einen Zugriff auf https://www.youtube.com?
> Dass das nicht geht, ist ja gerade der Sinn des Spiels.
> 
> Gibt es einen eleganteren Weg, mein Problem zu lösen?
> 
> Vielen Dank für Hinweise und Überlegungen!
> Hartmut
>

Reply to:

Follow-Ups:
- Re: Firewall, die genau eine Webseite ermöglicht
  - From: Christoph Schmees <cjws@gmx.net>

References:
- Firewall, die genau eine Webseite ermöglicht
  - From: Hartmut Niemann <Hartmut.Niemann@gmx.de>

Prev by Date: Re: Firewall, die genau eine Webseite ermöglicht
Next by Date: Re: Firewall, die genau eine Webseite ermöglicht
Previous by thread: Re: Firewall, die genau eine Webseite ermöglicht
Next by thread: Re: Firewall, die genau eine Webseite ermöglicht
Index(es):
- Date
- Thread