AW: Re: [suse-isdn] isdn-server - dial on demand
wie kann ich verhindern, dass dial-on-demand auf dem Server ungewollt Verbindungen ins Internet aufbaut.
Kein dial on demand benutzen?
Naja auch eine Idee, aber der User am Laptop soll eben auch in Internet kommen ohne vorher zum Server zu laufen.
Wie willst du den entscheiden wann die Verbindung gewollt ist und wann nicht?
Wenn ich den Browser zum Surfen öffne, soll/darf die Verbindung hergestellt werden. Sonstige Anforderungen vom Server oder Laptop sollen ignoriert werden. Olaf
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-isdn-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-isdn-help@suse.com
On Wed, 21 Dec 2005 olaf@mail4koenig.de wrote:
[...] Wenn ich den Browser zum Surfen öffne, soll/darf die Verbindung hergestellt werden. Sonstige Anforderungen vom Server oder Laptop sollen ignoriert werden.
*Welchen* Browser!? Und warum sollen automatische Prozesse (Stichwort
"cron") nicht auch bei Bedarf "raus dürfen"!? Warum eigentlich dial on
demand, wenn es dann doch wieder kastriert wird!?
Anyway: Hint: man -P 'less +"/^ {7}active-filter"' ipppd pppd
Henning Hucke schrieb:
Ansonsten könnte man nurnoch Windows XP empfehlen. Dort kann man festlegen, welche *Applikationen* durch die Firewall dürfen...
Das kann man unter Linux mit iptables auch (modul owner --cmd-owner). Also kein Grund Windows zu empfehlen :-). Aber hier kommt die Anfrage ja über das Netzwerk und da geht das weder bei Linux noch bei Windows. In diesem Fall empfiehlt es sich aber die Einwahl manuell auszulösen, es ist schlieslich für den Server nicht möglich zu entscheiden von welchem Programm auf dem Client die Verbindung kommt. Ausserdem muss die Namensauflösung (dns) ja vor der http Verbindung erledigt werden und da kann man gleich garnichts mehr automatisch unterscheiden. Manuelle Einwahl gibt es auch als Script für Apache, hieß glaube ich linecontrol.
On Wed, Dec 21, 2005 at 01:58:28PM +0100, olaf@mail4koenig.de wrote:
wie kann ich verhindern, dass dial-on-demand auf dem Server ungewollt Verbindungen ins Internet aufbaut.
Kein dial on demand benutzen?
Naja auch eine Idee, aber der User am Laptop soll eben auch in Internet kommen ohne vorher zum Server zu laufen.
Wie willst du den entscheiden wann die Verbindung gewollt ist und wann nicht?
Wenn ich den Browser zum Surfen öffne, soll/darf die Verbindung hergestellt werden. Sonstige Anforderungen vom Server oder Laptop sollen ignoriert werden.
Das Problem ist (wie die Anderen schon geschrieben haben) festzustellen was erlaubter Trafik ist, praktisch ueber Rechnergrenzen nicht moeglich. Wenn auf dem Laptop auch Linux laeuft, ist es garkein Problem, kinternet funktioniert auch auf clients. -- Karsten Keil SuSE Labs ISDN development
Am Mittwoch, 21. Dezember 2005 15:05 schrieb Karsten Keil: Ich hoffe ich habe das jetzt alles richtig verstanden.
Wenn ich den Browser zum Surfen öffne, soll/darf die Verbindung hergestellt werden. Sonstige Anforderungen vom Server oder Laptop sollen ignoriert werden.
Das Problem ist (wie die Anderen schon geschrieben haben) festzustellen was erlaubter Trafik ist, praktisch ueber Rechnergrenzen nicht moeglich.
Mit der Firewall (iptables) eigentlich schon. Auf der Firewall alles verbieten und Port 80 öffnen. Wenn das nicht reicht, z. B. wegen SSL, dann auch Port 442 öffnen, usw. Am besten ist es dann, das was durchgeht zu einem Proxy zu leiten und diesen restriktiv einzustellen. Wenn die Firewall auf oder direkt vor dem ISDN-Server installiert ist, kannst du DoD aktiv lassen. Wenn alles richtig gemacht ist können nur noch Anfragen auf Port 80 (...) durchgehen. Der DNS muß natürlich hierfür auch berücksichtigt werden. So können die Clients eigentlich nicht mehr eine Verbindung öffnen sondern nur noch die Firewall bzw. der Proxy. -- gruß Oliver
Oliver Leue schrieb:
Das Problem ist (wie die Anderen schon geschrieben haben) festzustellen was erlaubter Trafik ist, praktisch ueber Rechnergrenzen nicht moeglich.
Mit der Firewall (iptables) eigentlich schon.
Nein.
Auf der Firewall alles verbieten und Port 80 öffnen. Wenn das nicht reicht, z. B. wegen SSL, dann auch Port 442 öffnen, usw. Am besten ist es dann, das was durchgeht zu einem Proxy zu leiten und diesen restriktiv einzustellen.
Wenn die Firewall auf oder direkt vor dem ISDN-Server installiert ist, kannst du DoD aktiv lassen. Wenn alles richtig gemacht ist können nur noch Anfragen auf Port 80 (...) durchgehen. Der DNS muß natürlich hierfür auch berücksichtigt werden.
Selbst wenn man der Ansicht ist das Port 80 tatsächlich alles sein sollte was ein Browser darf (sollte es im Internet tatsächlich noch mehr als http auf Port 80 geben?), so hilft das eben nichts gegen Nameserveranfragen. Ganz abgesehen davon das ja jedes Programm mit Ziel Port 80 arbeiten kann. Und damit kann wieder jedes beliebige Programm auf dem Server oder Client die Einwahl auslösen. Da kann man auch nichts dagegen tun, ist ein prinzipielles Problem.
participants (5)
-
Henning Hucke -
Holger Krull -
Karsten Keil -
olaf@mail4koenig.de -
Oliver Leue