block ip addresses

What I need to do is quite simple:  I would like to block all traffic except to a handful of external ip addresses.  

Hi,
Define networks definitions for the IPs/Networks, and put them all into a new Network Group definition.

Then, create a packetfilter rule to allow the IPs/Network Groups you want to allow, followed by with a DROP rule to the "ANY" definition, for the services in question (or ANY service).

Barry

Barry, that won't, for example, stop browsing if he's using the HTTP Proxy.

A1, are you using or planning to use any of the proxies?

Thanks Barry and Bob for contributing to the thread!

I will post a reply to the question regarding the proxy tomorrow--In my part of the world, its getting rather late [:)]

I feel that I should probably give some detailed information about what I am ultimately trying to achieve, as my goal will likely affect the direction the thread takes from here.

Thanks again, and please check back tomorrow if you can!

My objective in using Astaro is to implement a specialized, very selective firewall to one computer.  The computer doesn’t need to communicate with any of my other computers—it just needs to be able to access two ranges of external ip addresses, amounting to 9 addresses in total.  

All traffic of any kind—except to these ips should be blocked.  It has been suggested to me that I need to specifically block all DNS/ICMP and TCP/UDP traffic except to ip address ranges.

I have no preconceived strategies for this—there is complete flexibility, but I do want the firewall to be as secure as possible, so if there is a checklist of things that could be done to improve security, that would be very helpful.

I am quite new to Astaro (and indeed to networking generally) and set up an HTTP proxy via the Wizard--I was following a brief Astaro tutorial I found on the internet.  So, I can adapt the setup if required.  If I disabled the HTTP proxy, would the approach suggested by Barry be workable?

In trying out some ideas, I attempted to create a new Network definition that would encompass one of the ip address ranges I need to access.  The definition included the address 8.18.161.100 with netmask of /20, however Astaro won’t let me save this definition for some reason—any ideas as to why this is the case?  I have included a screenshot for reference.

Astaro is touchy about imprecise subnet definitions.  If you define an IP in the middle of the range (except when defining an interface), you get this rejection.  Try 8.180.160.0/20 instead.

I'm a little confused.  That's a few more than nine IPs!

Cheers - Bob

What things will you do with these nine external IPs?  What subscriptions do you have, or is this a home-use license?  Will your access be strictly via browser?  FTP? Remote Desktop?  

Do these remote addresses need to be able to initate contact with the one PC?  With what protocols?

etc.

Cheers - Bob

What things will you do with these nine external IPs?  What subscriptions do you have, or is this a home-use license?  Will your access be strictly via browser?  FTP? Remote Desktop?  

Do these remote addresses need to be able to initate contact with the one PC?  With what protocols?

etc.

Cheers - Bob