Iptables, gyerekek azonnali korlátozása

Ha bárki tudna segíteni. Fáradt és ideges vagyok, nem megy a gondolkodás, pedig triviális a dolog.

Van otthon egy router. 192.168.210.1 ez oszt dhcp-t. Kézzel beállítanám átjárónak a linux-os gépemet 192.168.210.20.
A célom a következő. Ha dns kérés jön, az menjen a router-be 53 port 192.168.210.1 nehogy kiírja nekik a windows, hogy nincsen internet ha 22-port az menjen a szerveremre 192.168.210.20
Minden más forgalom pedig találkozzon a szerveren lévő apache-al aminek a 80-as portján az internet elfogyott van azaz a dev0.hu tartalma. A gyerekeink szarnak a fejünkre, gondoltam, ha nem megy a facebook vagy a játék, csak megnyitnak egy böngészőt, ahol bármit beírnak, akkor találkoznak az elfogyással. Meglehet squid lenne a megfelelő? De akkor is bele kellene küldeni a forgalmat.

( szilas | 2018. 10. 13., szo – 20:43 )

Szerintem ez egy tök egyszerű portátirányítás.
dhcp-t alapon hagyod, majd a rúterben megadod, hogy a 80-as portot (vagy amelyiket akarod) hova irányítsa át (ip cím). Még egy alhálóban is vannak.

Vagy félreértek valamit?

---------------------------------------------------------------
Ritkán szólok hozzá dolgokhoz. Így ne várj tőlem interakciót.

( AiRLAC v | 2018. 10. 14., v – 08:11 )

Pi-hole és OpenDNS pl.?

--

"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."

( SzBlackY | 2018. 10. 14., v – 09:06 )

A 80-as nem lesz elég, ma már a fél világ HTTPS-en megy... na most, itt vagy a gyerekek gépére teszel egy root cert-et, amivel szépen alá tudod írni nekik squidből bármelyik domaint (ssl bump), vagy a gépeken beállítod, hogy lesznek szívesek automatikus konfigurációt nézni (wpad, Chrome átveszi a rendszer beállítását, Firefox alapbeállításon _elvileg_ átveszi, de egy ideje bugos és nem megy neki) és letiltod, hogy ezt módosíthassák - innentől kezdve a gépeik szépen küldik a HTTP requesteket a te proxydnak, a HTTPS-eket meg egy CONNECT kérés után tunnelezett kapcsolaton küldenék; amikor éppen engeded nekik ;) amikor meg nem, akkor meg kapnak szép hibaoldalt a Squidtől.

wpad-ot tudsz DHCP-ből szórni, elég lehet hozzá egy sima DNS bejegyzés stb. https://wiki.gentoo.org/wiki/ProxyAutoConfig. Ha úgyis megy a szerver, simán tegyél rá egy saját DHCP és DNS szervert, onnantól sokkal szabadabb a kezed :) Persze ha a routeren nem tudod letiltani a kifelé menő kapcsolatokat, azt még mindig használhatják gateway-nek (kukázd a rendszergazda jogaikat, ha vannak), de...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

( tigrincs | 2018. 10. 15., h – 09:19 )

Talan amig nem tudnak viselkedni elkobozni a varazsdobozokat amibol gyun az internyet?

( uid_4263 v | 2018. 10. 15., h – 10:03 )

Egyébként banális megoldás de csinálsz nekik külön wifit (a rendes jelszavát megváltoztatod), akár guest network akár külön wifi AP segítségével, aztán akkor kapcsolod le amikor akarod.

--
debian,libreelec,openmediavault,ubuntu,windows,arch,lineageOS
zbook/elitebook/rpi3/nexus5_hammerhead