Stellen Sie sich einen Router mit ADSL-Internetverbindung, 3 Ethernet-Ports (eth1 bis eth3) und WLAN vor.
Angenommen, es gibt eine Linux-Maschine (die Inhaltsfilterung durchführen soll (Whitelisting – nur bestimmte IPs oder IP/TCP-Kombinationen oder URLs zulassen (die Whitelist) und alles andere blockieren)), die mit eth1 auf dem Router verbunden ist, aber nie eine Verbindung zum Internet herstellt. Kann dieser Maschine der Zugriff auf die ADSL-Internetverbindung dauerhaft verweigert werden? Wie?
Bedenken Sie, dass es möglicherweise zwei weitere Maschinen auf eth2 und eth3 gibt und wahrscheinlich noch viele mehr über WLAN.
Kann der Router so eingerichtet werden, dass er den gesamten Datenverkehr (Rohpakete der physischen Schicht) von eth2, eth3 und allen per WLAN verbundenen Knoten an eth1 weiterleitet, und eth1 würde zulässige Pakete zurück an den Router weiterleiten und den Rest verwerfen? Der Router würde ADSL (oder eth2 eth3 WLAN) für alle Pakete verwenden, die von eth1 kommen. Eine ähnliche Einrichtung muss für alle Pakete vorhanden sein, die von ADSL an eth2, eth3 und WLAN kommen (ADSL an eth2, eth3 und WLAN muss zuerst an eth1 und dann an die jeweiligen Geräte gesendet werden). Wie?
Antwort1
Normalerweise wird ein Inhaltsfilter als Proxyserver eingerichtet, was bedeutet, dass er im Auftrag der Clients Verbindungen zum Internet herstellt. In dieser Konfiguration wäre es nicht sinnvoll, seinen Zugriff auf das Internet zu blockieren, da er sonst nicht funktionieren würde. Sofern Sie nicht eher wie eine Firewall im laufenden Betrieb filtern, können Sie Regeln hinzufügen, die besagen, dass Pakete, die vom Inhaltsfilter stammen, verworfen werden sollen. Außerdem können Sie mit den meisten privaten und allen kommerziellen Routern Pakete mit einer bestimmten IP als Quelle verwerfen.
Wenn es sich bei dem betreffenden Router um einen Heimrouter handelt, sind eth1 - eth3 und WLAN alle miteinander verbunden. Das heißt, sie bilden dasselbe Layer-2-Netzwerk und es gibt normalerweise keine Möglichkeit, sie als einzelne Ports zu behandeln und Routing-Entscheidungen einzeln anzuwenden.
In diesem Fall müssten Sie das Standard-Gateway des Netzwerks zum Inhaltsfilter machen. Dadurch wird der gesamte Datenverkehr von allen an den Router angeschlossenen Geräten an den Inhaltsfilter weitergeleitet. Normalerweise ist dies bei einem Heimrouter nicht möglich, aber Sie können den DHCP-Dienst auf dem Router deaktivieren und einen auf Ihrem Inhaltsfilter einrichten.
Dann wäre der Router das Standard-Gateway des Inhaltsfilters. Beachten Sie, dass Pakete über dieselbe Schnittstelle des Inhaltsfilters ein- und ausgehen würden, aber das sollte kein Problem sein. Wenn es sich um eine Linux-Box handelt, stellen Sie sicher, dass sie Folgendes /etc/sysctl.confenthält:
net.ipv4.conf.all.send_redirects = 0
Dadurch wird verhindert, dass der Inhaltsfilter den Router anweist, direkt eine Verbindung zu lokalen IP-Adressen herzustellen, wenn Pakete an seiner Schnittstelle ankommen, die aber für andere IP-Adressen im selben Netzwerk bestimmt sind. Wie dies in Ihrem Fall der Fall sein wird.
Der letzte Teil besteht darin, sicherzustellen, dass der gesamte eingehende Datenverkehr an den Inhaltsfilter weitergeleitet wird. Die meisten Heimrouter ermöglichen das Hinzufügen statischer Routen. Wenn Sie eine statische Route für Ihren gesamten internen Netzwerkbereich hinzufügen – beispielsweise 192.168.0.0/24, um zur IP-Adresse Ihres Inhaltsfilters zu gelangen –, wird die natürliche Tendenz des Routers außer Kraft gesetzt, Pakete für Geräte in einem Netzwerk, an das er angeschlossen ist, direkt an diese Geräte zu senden. Stattdessen wird alles Eingehende an den Inhaltsfilter weitergeleitet.