Hallo, ich habe mir einen Rechner als Router eingerichtet, meine Söhne können sich nun über diesen Rechner ins Internet einwählen, da ich keine Flat-Rate habe, stelle ich nun nach 14 Tagen fest das ich wahrscheinlich wenn ich nichts unternehme die Telekom reich und ich arm werde. Die Hauptkostenverursacher sind meiner Meinung nach edonkey und Konsorten, gibt es über z.B. über die SuSeFirewall die Möglichkeit, diese P2P und die dazugehörigen Ports?? zu sperren. Mir gehts hier wirklich primär nur darum keine Programme dieser Art mehr durchkommen zu lassen, damit nich nicht das ganze Internet für meine Söhne wieder abschalten muss. Thüss Werner -- Homepage http://www.info-dialyse.de Mail: mailto://W.F.Gross@t-online.de
Hi, ich würde sagen zunächst einmal die Ports 4661 bis 4666 sperren. Bei SuSEfirewall2 müsstest du die Firewall so einstellen dass nur noch die Ports genutzt werden können, die ausdrücklich freigegeben sind (um die P2P-Proggis wirklich zu unterdrücken). Ich würde es so machen (sofern du schon ein Grundgerüst der Firewall hast): # Nur Services zulassen, die du freigibst FW_AUTOPROTECT_SERVICES="yes" # Common: ssh smtp domain FW_SERVICES_INT_TCP="1:25 53 80 110 443 1080 8080" # Common: domain syslog FW_SERVICES_INT_UDP="$FW_SERVICES_INT_TCP" # For VPN/Routing which END at the firewall!! FW_SERVICES_INT_IP="" Dadurch werden nur noch die Ports 1 bis 25 sowie 53 (DNS), 80 (HTTP), 110 (POP3), 443 (SSL), 1080 (SOCKS) und 8080 (alternative HTTP) freigegeben Mfg, M. Kölbl On Friday, 09. May 2003 19:13, Werner Groß wrote:
Hallo,
ich habe mir einen Rechner als Router eingerichtet, meine Söhne können sich nun über diesen Rechner ins Internet einwählen, da ich keine Flat-Rate habe, stelle ich nun nach 14 Tagen fest das ich wahrscheinlich wenn ich nichts unternehme die Telekom reich und ich arm werde.
Die Hauptkostenverursacher sind meiner Meinung nach edonkey und Konsorten, gibt es über z.B. über die SuSeFirewall die Möglichkeit, diese P2P und die dazugehörigen Ports?? zu sperren. Mir gehts hier wirklich primär nur darum keine Programme dieser Art mehr durchkommen zu lassen, damit nich nicht das ganze Internet für meine Söhne wieder abschalten muss.
Thüss Werner
Hallo, wahrscheinlich versteh ich das ganze nicht ich habe bisher folgende Firewall-Konfiguration, die auch einen transparenten Proxy enthält, dies funktioniert meiner Meinung nach. Nun habe ich noch die von dir empfohlen Modifikation durchgeführt. Dadurch sieht meine SuSEfirewall2 im Moment so aus FW_QUICKMODE="no" FW_DEV_EXT="ippp0" FW_DEV_INT="eth0" FW_DEV_DMZ="" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="192.168.99.0/24" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_SERVICES="yes" FW_SERVICES_EXT_TCP="ftp ssh smtp domain http pop3 ident nnsp" FW_SERVICES_EXT_UDP="" FW_SERVICES_EXT_IP="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP="" FW_SERVICES_INT_TCP="1:25 53 80 110 443 1080 3128 8080" FW_SERVICES_INT_UDP="$FW_SERVICES_INT_TCP" FW_SERVICES_INT_IP="" FW_SERVICES_QUICK_TCP="" FW_SERVICES_QUICK_UDP="" FW_SERVICES_QUICK_IP="" FW_TRUSTED_NETS="192.168.99.0/24" FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" FW_SERVICE_AUTODETECT="yes" FW_SERVICE_DNS="no" FW_SERVICE_DHCLIENT="yes" FW_SERVICE_DHCPD="yes" FW_SERVICE_SQUID="yes" FW_SERVICE_SAMBA="no" FW_FORWARD="" FW_FORWARD_MASQ="" FW_REDIRECT="192.168.99.0/24,0/0,tcp,80,3128" FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW" FW_KERNEL_SECURITY="yes" FW_STOP_KEEP_ROUTING_STATE="yes" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_PING_EXT="no" FW_ALLOW_FW_TRACEROUTE="yes" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_ALLOW_FW_BROADCAST="no" FW_IGNORE_FW_BROADCAST="yes" FW_ALLOW_CLASS_ROUTING="no" FW_CUSTOMRULES="" FW_REJECT="yes" FW_HTB_TUNE_DEV="" Leider funktioniert aber durch die von dir angeregte Modifikation das Sperren von edonkey und Konsorten nicht, sollte ich FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" auf die beiden Variablen auf Nein setzen, oder welche Modifikation muss ich vornehmen. Thüss Werner Am Freitag, 9. Mai 2003 20:49 schrieb M. Kölbl:
Hi,
ich würde sagen zunächst einmal die Ports 4661 bis 4666 sperren. Bei SuSEfirewall2 müsstest du die Firewall so einstellen dass nur noch die Ports genutzt werden können, die ausdrücklich freigegeben sind (um die P2P-Proggis wirklich zu unterdrücken).
Ich würde es so machen (sofern du schon ein Grundgerüst der Firewall hast): # Nur Services zulassen, die du freigibst FW_AUTOPROTECT_SERVICES="yes" # Common: ssh smtp domain FW_SERVICES_INT_TCP="1:25 53 80 110 443 1080 8080" # Common: domain syslog FW_SERVICES_INT_UDP="$FW_SERVICES_INT_TCP" # For VPN/Routing which END at the firewall!! FW_SERVICES_INT_IP=""
Dadurch werden nur noch die Ports 1 bis 25 sowie 53 (DNS), 80 (HTTP), 110 (POP3), 443 (SSL), 1080 (SOCKS) und 8080 (alternative HTTP) freigegeben
Mfg, M. Kölbl
On Friday, 09. May 2003 19:13, Werner Groß wrote:
Hallo,
ich habe mir einen Rechner als Router eingerichtet, meine Söhne können sich nun über diesen Rechner ins Internet einwählen, da ich keine Flat-Rate habe, stelle ich nun nach 14 Tagen fest das ich wahrscheinlich wenn ich nichts unternehme die Telekom reich und ich arm werde.
Die Hauptkostenverursacher sind meiner Meinung nach edonkey und Konsorten, gibt es über z.B. über die SuSeFirewall die Möglichkeit, diese P2P und die dazugehörigen Ports?? zu sperren. Mir gehts hier wirklich primär nur darum keine Programme dieser Art mehr durchkommen zu lassen, damit nich nicht das ganze Internet für meine Söhne wieder abschalten muss.
Thüss Werner
-- Homepage http://www.info-dialyse.de Mail: mailto://W.F.Gross@t-online.de
Werner Groß wrote:
Die Hauptkostenverursacher sind meiner Meinung nach edonkey und Konsorten, gibt es über z.B. über die SuSeFirewall die Möglichkeit, diese P2P und die dazugehörigen Ports?? zu sperren. Mir gehts hier wirklich primär nur darum keine Programme dieser Art mehr durchkommen zu lassen,
Auf kurze Sicht gilt das, was der andere Mitschreiber gesagt hat. Auf lange Sicht werden sich Systeme wie Overnet durch setzen, die nicht mit festen Ports arbeiten, sondern variabel werden. Viel Erfolg. Peter
Hi, 0n 03/05/09@19:13 Werner Groß told me:
ich habe mir einen Rechner als Router eingerichtet, meine Söhne können sich nun über diesen Rechner ins Internet einwählen, da ich keine Flat-Rate habe, stelle ich nun nach 14 Tagen fest das ich wahrscheinlich wenn ich nichts unternehme die Telekom reich und ich arm werde.
Die Hauptkostenverursacher sind meiner Meinung nach edonkey und Konsorten, gibt es über z.B. über die SuSeFirewall die Möglichkeit, diese P2P und die dazugehörigen Ports?? zu sperren. Mir gehts hier wirklich primär nur darum keine Programme dieser Art mehr durchkommen zu lassen, damit nich nicht das ganze Internet für meine Söhne wieder abschalten muss.
Ich maskiere den Rechner meines Sohnes nicht. Wenn er surfen will dann ueber den proxy. -- bye maik
Hallo, * Am 09.May.2003 postete Werner Groß:
Hallo,
ich habe mir einen Rechner als Router eingerichtet, meine Söhne können sich nun über diesen Rechner ins Internet einwählen, da ich keine Flat-Rate habe, stelle ich nun nach 14 Tagen fest das ich wahrscheinlich wenn ich nichts unternehme die Telekom reich und ich arm werde.
Die Hauptkostenverursacher sind meiner Meinung nach edonkey und Konsorten, gibt es über z.B. über die SuSeFirewall die Möglichkeit, diese P2P und die dazugehörigen Ports?? zu sperren. Mir gehts hier wirklich primär nur darum keine Programme dieser Art mehr durchkommen zu lassen, damit nich nicht das ganze Internet für meine Söhne wieder abschalten muss.
edonkey geht IMHO nicht über NAT, ebensowenig emule. Dazu braucht man Portforwarding oder irgend eine andere Abhilfe. Das Problem biste also schon mal los. Kazaa geht über NAT. Ob dabei allerdings nur bestimmte Ports verwendet werden? Ich denke, die Verbindungen laufen dann eben über die unpriviligieren Ports und die sucht sich das Programm >1024 aus. Also eher schlechte Karten. Aber Du kannst mal während des Betriebs von Kazaa mit iptraf gucken was das für Verbindungen sind. Ansonsten Söhne per crontab aussperren. Die Gören[1] sollen eh nur zu bestimmten Zeiten surfen, oder? Gruß Alex [1] ich hoffe das nimmst Du mir nicht übel. Ist auch mehr scherzhaft gemeint. Mittermeier's AK wäre schlimmer. ;)
On 9 May 2003 at 19:13, Werner Groß wrote:
dazugehörigen Ports?? zu sperren. Mir gehts hier wirklich primär nur darum keine Programme dieser Art mehr durchkommen zu lassen, damit nich nicht das ganze Internet für meine Söhne wieder abschalten muss.
Ich wuerde fli4l empfehlen (wenn xDSL oder ISDN). Vorteile: - Deine Soehne muessen nicht immer an Deinen Rechner - eine klarere Netzstruktur ist sicherer - der Router ist sehr einfach aufgebaut und man kann sich aus hunderten Opt-Paketen quasi wie aus Legobausteinen ein massgeschneidertes System zusammenbauen - LeastCostRouter inclusive Nachteile: - zusaetzliche HW ( gebraucht ca. 50 - 150 Euro; ich habe einen P133 -> ca. 20% Auslastung) Ich bin mir ziehmlich sicher, dass auch schon ein anderer solch ein Problem hatte und die Loesung unter den Opt Paketen zu finden ist Ich habe fuer meine Tochter selbst eins gestrickt. Ich kann damit fuer jeden Wochentag einstellen, von wann bis wann wie lange sie online ist. Sie steuert das ganze mit einem WEB-Frontend. War recht einfach, da die fli4l-pakete alle nach dem gleichen Schema aufgebaut sind. Gruss, Oliver
participants (6)
-
Alex Klein
-
M. Kölbl
-
Maik Holtkamp
-
Oliver Fuchs
-
Peter Wiersig
-
Werner Groß