Hallo SuSE Liste, ich habe hier Probleme mit meinem dod Router. Kernel ist ein 2.2.19 in einer SuSe 7.0 Umgebung. Irgendwelche Rechner versuchen nun eine Verbindung aufzubauen, beispielsweise über den edonkey Port, was natürlich abgelehnt wird. Mar 25 13:50:09 mserver kernel: Packet log: input DENY ppp0 PROTO=6 80.139.229.1 38:2750 80.143.216.180:4661 L=52 S=0x00 I=10625 F=0x4000 T=124 SYN (#136) Jedoch führt das dazu, das der Rechner nicht mehr auflegt. Was muß ich verändern damit der Rechner diese Verbindungsanfragen nicht zum Anlaß nimmt die Verbindung stehen zu lassen? Als Firewallscript läuft hier die Vers 4.9 von Marc Heuse ipchains. -- Mit freundlichen Grüßen/Yours sincerely, Dietmar Strasdat mailto:earthmate@gmx.net RSA 2048 PGP Key 0xBBE4EC81 available
Hallo, * Am 26.03.2002 zauberte Dietmar Strasdat:
Hallo SuSE Liste, ich habe hier Probleme mit meinem dod Router. Kernel ist ein 2.2.19 in einer SuSe 7.0 Umgebung. Irgendwelche Rechner versuchen nun eine Verbindung aufzubauen, beispielsweise über den edonkey Port, was natürlich abgelehnt wird.
Mar 25 13:50:09 mserver kernel: Packet log: input DENY ppp0 PROTO=6 80.139.229.1 38:2750 80.143.216.180:4661 L=52 S=0x00 I=10625 F=0x4000 T=124 SYN (#136)
Jedoch führt das dazu, das der Rechner nicht mehr auflegt. Was muß ich verändern damit der Rechner diese Verbindungsanfragen nicht zum Anlaß nimmt die Verbindung stehen zu lassen? Als Firewallscript läuft hier die Vers 4.9 von Marc Heuse ipchains.
Schon mal alles dicht gemacht? # ipchains -F input # ipchains -P input DENY # ipchains -A input -p tcp --dport 4661 -j DENY Die letzte Zeile kannst Du Dir auch sparen ;) Legt er dann auf? Kannst Du ausschließen, daß in der idle time _außer_ den geloggten Zugriffen noch ein anderer Traffic aufkommt? DNS-Abfragen? Netbios Windows Scheiße? Irgendwas? iptraf schon mal mitlaufen lassen? -- Gruß Alex -- [OE] Zusätzlich muß man auf automatischen Zeilenumbruch sowie automatisch eingefügte Signaturen verzichten und bei Antworten auf qp-codierte Artikel das Quoting manuell nachbearbeiten. Da kann man seine Artikel auch gleich per telnet $NNTPSERVER 119 einliefern. [Marc Haber in dcsn]
Hallo Alex, am 26.03.02, um 11:30 h, schrieb Alex Klein:
Schon mal alles dicht gemacht?
# ipchains -F input # ipchains -P input DENY # ipchains -A input -p tcp --dport 4661 -j DENY
Die letzte Zeile kannst Du Dir auch sparen ;)
Legt er dann auf?
DENY ist eingestellt, er legt definitiv nicht auf. Es kamen z.B teilweise über 3 Stunden Anfragen auf Port 4661 die mit DENY abgeblockt wurden.
Kannst Du ausschließen, daß in der idle time _außer_ den geloggten Zugriffen noch ein anderer Traffic aufkommt? DNS-Abfragen? Netbios Windows Scheiße? Irgendwas?
DNS kommt ab und an, Netbios nicht. Habe den Tipp bekommen die Syslog auszuwerten und den pppd zum auflegen zu zwingen. Allerdings weiß ich nicht genau wie man das veranstalten soll.
iptraf schon mal mitlaufen lassen? Sagt mir das mehr als syslog? Wer ich mal anwerfen, Danke.
-- Mit freundlichen Grüßen/Yours sincerely, Dietmar Strasdat mailto:earthmate@gmx.net RSA 2048 PGP Key 0xBBE4EC81 available
Hallo, * Am 26.03.2002 zauberte Dietmar Strasdat:
Hallo Alex,
am 26.03.02, um 11:30 h, schrieb Alex Klein:
Schon mal alles dicht gemacht?
# ipchains -F input # ipchains -P input DENY # ipchains -A input -p tcp --dport 4661 -j DENY
Die letzte Zeile kannst Du Dir auch sparen ;)
Legt er dann auf?
DENY ist eingestellt, er legt definitiv nicht auf. Es kamen z.B teilweise über 3 Stunden Anfragen auf Port 4661 die mit DENY abgeblockt wurden.
Ich kann mir das ehrlich gesagt nicht vorstellen, daß ein abgeblocktes Paket die idle-time zurückstetzt. Dann könnte ich jeden dod Router damit im Netz behalten. Brauch ihn ja nur anzupingen.
Kannst Du ausschließen, daß in der idle time _außer_ den geloggten Zugriffen noch ein anderer Traffic aufkommt? DNS-Abfragen? Netbios Windows Scheiße? Irgendwas?
DNS kommt ab und an, Netbios nicht. Habe den Tipp bekommen die Syslog auszuwerten und den pppd zum auflegen zu zwingen. Allerdings weiß ich nicht genau wie man das veranstalten soll.
Daher würd ich ja mal alles zu machen und dann nachsehen, ob der Rechner auflegt. Das ist IMO eine andere Verbindung. Ich habs natürlich nicht getestet, aber so würd ich das Problem angehen.
iptraf schon mal mitlaufen lassen? Sagt mir das mehr als syslog? Wer ich mal anwerfen, Danke.
Das ist eine Traffic Monitor. Damit siehst Du halt, was sich auf den devices tut. Außer die geblockten (IIRC). -- Gruß Alex -- besser eingebildet ausgeh'n, als ausgebildet eingeh'n ;-) [Claudia Gabel in dag°]
On Tue, Mar 26, 2002 at 01:56:11PM +0100, Alex Klein wrote:
* Am 26.03.2002 zauberte Dietmar Strasdat:
DENY ist eingestellt, er legt definitiv nicht auf. Es kamen z.B teilweise über 3 Stunden Anfragen auf Port 4661 die mit DENY abgeblockt wurden.
Ich kann mir das ehrlich gesagt nicht vorstellen, daß ein abgeblocktes Paket die idle-time zurückstetzt. Dann könnte ich jeden dod Router damit im Netz behalten. Brauch ihn ja nur anzupingen.
Herzlichen Glueckwunsch, Sie haben etwas verstanden. Ja, der Strecke ist egal, von wo nach wo die Daten fliessen. Sie wird abgebaut wenn gar keine Daten ueber die Timeout-Periode hinaus fliessen. Das DENY passiert ja erst auf der Empfaenger-Seite und fuehrt daher nicht dazu das die Verbindung abgebaut wird. Peter
* Dienstag, 26. März 2002 um 12:03 (+0100) schrieb Dietmar Strasdat:
am 26.03.02, um 11:30 h, schrieb Alex Klein:
Schon mal alles dicht gemacht?
# ipchains -F input # ipchains -P input DENY # ipchains -A input -p tcp --dport 4661 -j DENY
Die letzte Zeile kannst Du Dir auch sparen ;)
Legt er dann auf?
DENY ist eingestellt, er legt definitiv nicht auf. Es kamen z.B teilweise über 3 Stunden Anfragen auf Port 4661 die mit DENY abgeblockt wurden.
Du wirst mit einem Paketfilter das Halten der Verbindung durch Pakete
von aussen nicht verhindern können, da die INPUT-Chain des
Paketfilters "hinter" dem ppp-Device liegt und somit die Pakete den
Idle-Timer des pppd schon zurückgesetzt haben, _bevor_ sie der
Paketfilter verwirft. (Und schon gar nicht mit "-j DENY", da "merkt"
der sendende Host ja nicht mal, dass kein Partner mehr vorhanden
ist. Evtl. gibt der sendende Host ja nach einem "-j REJECT" die
Verbindungsversuche auf, was ich aber auch nicht glaube...)
Auf deiner Seite hast du AFAIK nur 2 Möglichkeiten:
1. Die "active-filter"-Option des pppd. (Ich weiß allerdings nicht, ob
das mit einem Kernel-2.2.X funktioniert.)
2. DOD mit dem 'diald'.
Gruß
Andreas
--
Andreas Könecke "Andreas Koenecke
Hallo, * Am 26.03.2002 zauberte Andreas Koenecke:
* Dienstag, 26. März 2002 um 12:03 (+0100) schrieb Dietmar Strasdat:
am 26.03.02, um 11:30 h, schrieb Alex Klein:
Schon mal alles dicht gemacht?
# ipchains -F input # ipchains -P input DENY # ipchains -A input -p tcp --dport 4661 -j DENY
Die letzte Zeile kannst Du Dir auch sparen ;)
Legt er dann auf?
DENY ist eingestellt, er legt definitiv nicht auf. Es kamen z.B teilweise über 3 Stunden Anfragen auf Port 4661 die mit DENY abgeblockt wurden.
Du wirst mit einem Paketfilter das Halten der Verbindung durch Pakete von aussen nicht verhindern können, da die INPUT-Chain des Paketfilters "hinter" dem ppp-Device liegt und somit die Pakete den Idle-Timer des pppd schon zurückgesetzt haben, _bevor_ sie der Paketfilter verwirft. (Und schon gar nicht mit "-j DENY", da "merkt" der sendende Host ja nicht mal, dass kein Partner mehr vorhanden ist. Evtl. gibt der sendende Host ja nach einem "-j REJECT" die Verbindungsversuche auf, was ich aber auch nicht glaube...)
Gut. Wieder was gelernt. Wobei der sendende Host bei DENY doch gar nichts zurückbekommt. Also keine Gegenstelle bemerkt, womit kein Partner vorhanden ist. Bei REJECT bekommt er halt mit, daß er nicht willkommen ist. Aber ist das nicht doof gemacht, wenn DOD die idle-time vor der Firewall prüft, wenn man das genauso hinter der firewall machen könnte? Na, da wird hier keiner was dran ausrichten. Es macht je keinen Sinn eine Verbindung wegen einer nichtzustandekommenden Verbindung zu erhalten. Wenn die Pakete "DENY"t werden, dann wird das ja auch nie was werden.
Auf deiner Seite hast du AFAIK nur 2 Möglichkeiten:
1. Die "active-filter"-Option des pppd. (Ich weiß allerdings nicht, ob das mit einem Kernel-2.2.X funktioniert.)
2. DOD mit dem 'diald'.
Oder mit einem Skript im Crontab die durchgelassenen Pakete auswerten und dann entscheiden, ob Datenverkehr war oder nicht. Ggf. einhängen. -- Gruß Alex -- Ich habe fast die Befürchtung, daß wir zu anspruchsvoll sind. [Dieter Bohlen über "Modern Talking"]
Hallo Andreas, am 26.03.02, um 14:19 h, schrieb Andreas Koenecke:
Auf deiner Seite hast du AFAIK nur 2 Möglichkeiten:
1. Die "active-filter"-Option des pppd. (Ich weiß allerdings nicht, ob das mit einem Kernel-2.2.X funktioniert.)
Scheint das diese Art der Filter genau das ermöglichen was ich brauche. Allerdings sind diese Filter wohl noch in der Entwicklung, dokus oder man Pages nicht vorhanden. Danke -- Mit freundlichen Grüßen/Yours sincerely, Dietmar Strasdat mailto:earthmate@gmx.net RSA 2048 PGP Key 0xBBE4EC81 available
Hallo Dietmar. * Mittwoch, 27. März 2002 um 09:08 (+0100) schrieb Dietmar Strasdat:
am 26.03.02, um 14:19 h, schrieb Andreas Koenecke:
Auf deiner Seite hast du AFAIK nur 2 Möglichkeiten:
1. Die "active-filter"-Option des pppd. (Ich weiß allerdings nicht, ob das mit einem Kernel-2.2.X funktioniert.)
Scheint das diese Art der Filter genau das ermöglichen was ich brauche. Allerdings sind diese Filter wohl noch in der Entwicklung, dokus oder man Pages nicht vorhanden.
Ich habe die "active-filter"-Option selbst nie ausprobiert (weil ich
eine funktionierende 'diald'-Konfiguration übernommen habe, aus
Zeiten, in denen der 'pppd' noch gar kein DOD konnte), aber ich habe
gelesen, dass es inzwischen funktionieren soll.
Die Option ist in der man-Page des 'pppd' beschrieben (Wenn das bei dir
nicht der Fall ist, ist vermutlich dein 'pppd' zu alt.), und zusammen
mit der man-Page von 'tcpdump' sollte es möglich sein, einen solchen
Filter einzurichten. Aber trotzdem sehe ich ein paar Schwierigkeiten:
- Wie schon geschrieben, ist evtl. der Kernel 2.2.19 dafür nicht
geeignet. Finden sich in der Kernelkonfiguration die Optionen
"Networking Options" -> "Socket Filtering" und (nur wenn "Socket
Filtering" gewählt) "Network Device Suport" -> "PPP Filtering"?
- Vermutlich musst du den 'pppd' selbst kompilieren, da evtl. das
SuSE-Binary ohne "Filter"-Unterstützung erzeugt wurde.(?)
Gruß
Andreas
--
Andreas Könecke "Andreas Koenecke
Hallo, Dietmar Strasdat schrieb:
am 26.03.02, um 14:19 h, schrieb Andreas Koenecke:
Auf deiner Seite hast du AFAIK nur 2 Möglichkeiten:
1. Die "active-filter"-Option des pppd. (Ich weiß allerdings nicht, ob das mit einem Kernel-2.2.X funktioniert.)
Scheint das diese Art der Filter genau das ermöglichen was ich brauche. Allerdings sind diese Filter wohl noch in der Entwicklung, dokus oder man Pages nicht vorhanden.
Laut /proc/config.gz ist die Filterunterstützung fest in den Kernel einkompiliert: CONFIG_PPP_FILTER=y - zumindest ab Kernel 2.4.10 (=Standard SuSE 7.3) und bei 2.4.16. Man pppd (ppp-2.4.1) beschreibt auch die Option active-filter. Syntaxbeispiele habe ich hier gefunden: http://www.adsl4linux.de/forum/read.php?TID=710#2293 Leider kennt pppd die Option active-filter nicht - und startet erst gar nicht :-( Hat jemand bereits Erfahrung, ob ein selbst kompilierter pppd das Problem lösen kann ? horst
* Mittwoch, 27. März 2002 um 13:21 (+0100) schrieb Horst Mueller:
Leider kennt pppd die Option active-filter nicht - und startet erst gar nicht :-( Hat jemand bereits Erfahrung, ob ein selbst kompilierter pppd das Problem lösen kann ?
Ich habe es gerade mal ausprobiert: Mit einem selbstkompiliertem
pppd-2.4.1 ("FILTER=y" im Makefile gesetzt) und einer gesetzen
"active-filter"-Option startet und funktioniert der pppd.
Gruß
Andreas
--
Andreas Könecke "Andreas Koenecke
Hallo Andreas, am 27.03.02, um 20:31 h, schrieb Andreas Koenecke:
Ich habe es gerade mal ausprobiert: Mit einem selbstkompiliertem pppd-2.4.1 ("FILTER=y" im Makefile gesetzt) und einer gesetzen "active-filter"-Option startet und funktioniert der pppd.
Mit welchem Kernel? 2.2.x oder 2.4.x, selbst erstellt oder SuSe default? -- Mit freundlichen Grüßen/Yours sincerely, Dietmar Strasdat mailto:earthmate@gmx.net RSA 2048 PGP Key 0xBBE4EC81 available
* Donnerstag, 28. März 2002 um 08:35 (+0100) schrieb Dietmar Strasdat:
Mit welchem Kernel? 2.2.x oder 2.4.x, selbst erstellt oder SuSe default?
2.4.18, selbst erstellt.
Gruß
Andreas
--
Andreas Könecke "Andreas Koenecke
participants (5)
-
Alex Klein -
Andreas Koenecke -
Dietmar Strasdat -
Horst Mueller -
Peter Wiersig