Re: Firewall, die genau eine Webseite ermöglicht

To: debian-user-german@lists.debian.org
Subject: Re: Firewall, die genau eine Webseite ermöglicht
From: Christoph Schmees <cjws@gmx.net>
Date: Sun, 15 Apr 2018 17:17:45 +0200
Message-id: <[🔎] 3f15b05b-4e61-ad4a-4c31-e2d4484da6bd@gmx.net>
In-reply-to: <[🔎] 20180414214324.GA3704@tina.invalid>
References: <[🔎] 562128e8-f92c-0972-2b59-489394306c49@gmx.de> <[🔎] 20180414214324.GA3704@tina.invalid>

Am 14.04.2018 um 23:43 schrieb Christian Schnitz:
> On Sat, Apr 14, 2018 at 11:38:49AM +0200, Hartmut Niemann wrote:
> 
> Ich mag mich irren, aber wäre es nicht besser sich mit dem Sohn
> hinzusetzen und die Vokabeln zu lernen?
> 
> Sperren für Kids ist häufig sehr zweischneidig.
> 
> Selbst wenn nur die eine Website erreichbar ist, holt er sich er alles
> andere was ier schauen möchte via Smartphone oder Freunde. 
> 

abgesehen vom TOFU schließe ich mich voll an: Soziale oder
pädagogische Aufgabenstellungen mit technischen Mitteln lösen zu
wollen, hat sich schon immer als verfehlte Strategie erwiesen.

meinjanur,
Christoph

> 
> 
>> Hallo!
>>
>> Ich möchte für meinen Sohn einen Account einrichten, von dem er per
>> Whitelist
>> genau eine Webseite (phase-6.de, ein Vokabelprogramm) aufrufen kann,
>> und ansonsten möglichst gar nichts.
>>
>> Andere Accounts auf dem Rechner brauchen vollen Netzzugang.
>>
>> Ich habe mit iptables eine Chain PHASE6 eingerichtet für alle Pakete, die
>> outging sind und dem Benutzer phase6 gehören.
>>
>> # alles löschen:
>> iptables -F
>> iptables -X
>> # eine neue Chain fuer Phase 6
>> iptables -N PHASE6
>> # Absprung: alle Pakete, die von phase6 kommen:
>> iptables -A OUTPUT -m owner --uid-owner phase6 -j PHASE6
>>
>>
>> Was ich glaube zu brauchen, bekommt eine ACCEPT -Regel:
>>
>> # Zugriffe auf lokale Ressourcen zulassen
>> iptables -A PHASE6 -d 127.0.0.0/8 -j ACCEPT
>> iptables -A PHASE6 -d 192.168.178.1 -j ACCEPT        .. das ist die Fritzbox
>> # Phase 6 selbst
>> iptables -A PHASE6 -d phase-6.de -j ACCEPT
>> iptables -A PHASE6 -dwww.phase-6.de  -j ACCEPT
>> iptables -A PHASE6 -d lernen.phase-6.de -j ACCEPT
>>
>> # was Phase 6 (anscheinend) noch braucht
>> iptables -A PHASE6 -d static.zanox.com -j ACCEPT
>> iptables -A PHASE6 -d api.zanox.com -j ACCEPT
>> iptables -A PHASE6 -d bat.bing.com -j ACCEPT
>>
>> Alles, was am Ende der Verarbeitung der Kette übrigbleibt, LOG und DROP
>>
>> # was jetzt noch in der Chain ist: loggen und verwerfen
>> iptables -A PHASE6 -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped for Phase6: " --log-level 4
>> iptables -A PHASE6 -j DROP
>>
>>
>> Der Benutzer phase6 kann diese Webseite benutzen, so weit ist alles OK.
>>
>> Aber warum ermöglicht diese Einstellung ihm einen Zugriff auf https://www.youtube.com?
>> Dass das nicht geht, ist ja gerade der Sinn des Spiels.
>>
>> Gibt es einen eleganteren Weg, mein Problem zu lösen?
>>
>> Vielen Dank für Hinweise und Überlegungen!
>> Hartmut
>>
> 

-- 
Bitte keine Mails von USA-Providern wie AOL, me.com (Apple),
gmail (Google), hotmail/outlook.com (Microsoft) oder yahoo.
Solche Mails werden ohne Rückmeldung gelöscht.
Siehe <http://www.pc-fluesterer.info/wordpress/downloads>

Reply to:

Follow-Ups:
- Re: Firewall, die genau eine Webseite ermöglicht
  - From: Hartmut Niemann <Hartmut.Niemann@gmx.de>

References:
- Firewall, die genau eine Webseite ermöglicht
  - From: Hartmut Niemann <Hartmut.Niemann@gmx.de>
- Re: Firewall, die genau eine Webseite ermöglicht
  - From: Christian Schnitz <christian@cnsz.de>

Prev by Date: Re: Firewall, die genau eine Webseite ermöglicht
Next by Date: Re: Firewall, die genau eine Webseite ermöglicht
Previous by thread: Re: Firewall, die genau eine Webseite ermöglicht
Next by thread: Re: Firewall, die genau eine Webseite ermöglicht
Index(es):
- Date
- Thread