Moin Michael,
at Sunday 02.12.2001 (21:58 +0100), Andreas Koenecke wrote:
* Sonntag, 02. Dezember 2001 um 20:38 (+0100) schrieb Malte S. Stretz:
Auf dem DSL-Interface müssen alle UDP pakete durchgelassen werden, die von port bootps (67) nach bootpc (68) gehen. Darüber läuft der DSL-Handshake ab.
Woher hast du diese Information? Ich halte das für eine Fehlinterpretation...
Ich auch. Denn ich blocke diesen Port und habe bisher kein Problem festgestellt.
Was auch immer darüber abläuft, es scheint keine negativen Auswirkungen zu haben, wenn man die Ports blockt. Zumindest funktioniert T-DSL. Leider füllen sich /var/log/messages und /var/log/firewall zusehens, weil 10-20 Mal pro Minute eine DENY-Zeile eingetragen wird. Da schickt der T-Online Einwahlrechner fröhlich bootp-Broadcasts an die Kundschaft, wobei er da die Client-Rolle übernimmt. 1) Ich könnte schwören, das begann erst nach dem Blackout for 3-4 Wochen. 2) man bleibt bei dial-on-demand ständig online 3) die Logs schwellen an (OK, weil ich nicht weiß, wie man das bei SuSEfirewall2 für diesen einen Port unterdrückt) 4) OK, Ich hab ne Flat aber wer zahlt andernfalls das Volumen ? 584 Bytes bei ca 15 Hits/Minute ... da komm ich -- über den Daumen gepeilt -- auf 360MB im Monat. 5) Wer zahlt die Zeit, wenn man keine Flat hat ? ZB bei Modem/ISDN Verbindungen überwachen etliche Provider die Leitung und schubsen einen raus. Zumindest hat man eine Chance, dass die egene Kiste "auflegt", falls grad alle Welt versucht bei mir Sub7, Morpheus, etc zu finden. 6) Was soll das ? T-Onlines Hotline meinte: a) zu 2) "Was wollen Sie denn ? Sie werden doch um Mitternacht ohnehin automatisch gekickt." (Nach 24 Std. aber egal ...) b) zu 4) darauf gingen beide Hotliner nicht ein. c) zu 5) goto a =8-{ Wie kann man die Standard-inbound-ports, die ständig unerwünscht von außen abgefragt werden, aus dem Dial-On-Demand raus nehmen, sodaß die meine Büxe nicht unnötig t-online halten können ? Wo trägt man eine Regel in den SuSEfirewall2 ein, die das Loggen dieser bootp-broadcasts unterdrückt ? Ich habe jetzt LOG-DROP-CRIT auf NO und das finde ich auch nicht soo doll. aus /var/log/messages (xxx.xxx.xxx.xxx ist mein P-t-P Uplink bei T-Online) ------------------------------------------------------------- Dec 4 17:23:34 FEBRUAR kernel: SuSE-FW-UNALLOWED-TARGETIN=ppp0 OUT= MAC= SRC=xxx.xxx.xxx.xxx DST=255.255.255.255 LEN=604 TOS=0x00 PREC=0x00 TTL=255 ID=54221 PROTO=UDP SPT=68 DPT=67 LEN=584 Dec 4 17:23:37 FEBRUAR kernel: SuSE-FW-UNALLOWED-TARGETIN=ppp0 OUT= MAC= SRC=xxx.xxx.xxx.xxx DST=255.255.255.255 LEN=604 TOS=0x00 PREC=0x00 TTL=255 ID=54417 PROTO=UDP SPT=68 DPT=67 LEN=584 Dec 4 17:23:40 FEBRUAR kernel: SuSE-FW-UNALLOWED-TARGETIN=ppp0 OUT= MAC= SRC=xxx.xxx.xxx.xxx DST=255.255.255.255 LEN=604 TOS=0x00 PREC=0x00 TTL=255 ID=54613 PROTO=UDP SPT=68 DPT=67 LEN=584 -------------------------------------------------------------