![](https://seccdn.libravatar.org/avatar/e4792d706c34635f0d3b8328b02d2864.jpg?s=120&d=mm&r=g)
Hi, meine firewall geht nicht mehr offline (Suse 8.0, isdn timeout auf 300sec), wie kann ich prüfen, wer die Verbindung hält? Ich habe bereits alle möglichen Dienste gestoppt, clients runtergefahren etc., ein netstat zeigt keine Verbindungen an. Hülfe, das Teil macht mich arm ;) Lars -- http://www.the-core.net
![](https://seccdn.libravatar.org/avatar/cea4c277b9c5434dca45364053f51c4e.jpg?s=120&d=mm&r=g)
mach mal einen tcpdump -i device und lies mit, was auf der leitung geht. wenns zu schnell geht, dann tcpdump -i device > /ordner_x/datei_y dann kannst du später mit z.b. less /ordner_x/datei_y auslesen device = ppp0 wenn adsl oder ippp0 wenn isdn eventuell paket installieren (serie n). Lars Oeschey schrieb:
Hi,
meine firewall geht nicht mehr offline (Suse 8.0, isdn timeout auf 300sec), wie kann ich prüfen, wer die Verbindung hält? Ich habe bereits alle möglichen Dienste gestoppt, clients runtergefahren etc., ein netstat zeigt keine Verbindungen an. Hülfe, das Teil macht mich arm ;)
Lars
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-isdn-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-isdn-help@suse.com
-- Hans-Ulrich Jetter Dipl.-Ing. (FH) Tel: +49-7432-12855 Fax: +49-7432-14221
![](https://seccdn.libravatar.org/avatar/e4792d706c34635f0d3b8328b02d2864.jpg?s=120&d=mm&r=g)
mach mal einen tcpdump -i device und lies mit, was auf der leitung geht.
ich schätze mal, ksnuffle sollte etwa das gleiche machen? Ich sehe allerdings nur gelegentliche ankommende pakete für netbios-ns, die werden aber von der firewall gedropped. Kann das die Leitung aufhalten? Langsam verliere ich das Vertrauen in "Auto-dial", da hat zwar sehr gut funktioniert, aber jetzt weiss ich nicht mal, wie lange die firewall das schon macht. Mal sehen was die nächste Rechnung sagt. Lars
![](https://seccdn.libravatar.org/avatar/610a68c4ab6dc7d8d4459b477142b24c.jpg?s=120&d=mm&r=g)
On Fri, Oct 25, 2002 at 06:46:30PM +0200, Lars Oeschey wrote:
mach mal einen tcpdump -i device und lies mit, was auf der leitung geht.
ich schätze mal, ksnuffle sollte etwa das gleiche machen? Ich sehe allerdings nur gelegentliche ankommende pakete für netbios-ns, die werden aber von der firewall gedropped. Kann das die Leitung aufhalten?
Ja, da das timeout Paket zaehlen vor der FW passiert.
Langsam verliere ich das Vertrauen in "Auto-dial", da hat zwar sehr gut funktioniert, aber jetzt weiss ich nicht mal, wie lange die firewall das schon macht. Mal sehen was die nächste Rechnung sagt.
Richtig. DOD ins Internet sollte man nur mit einer FLAT machen. Nur bei privaten Netzen, wo man auch die andere Seite unter Kontrolle hat ist es relativ ungefaehrlich (Ich habe aber auch schonmal durch einen vergessenen ping meine Rechnung verdreifacht). -- Karsten Keil SuSE Labs ISDN development
![](https://seccdn.libravatar.org/avatar/7af150f9616132022104d4c56a3c6ddc.jpg?s=120&d=mm&r=g)
Hallo Liste! Karsten Keil schrieb:
On Fri, Oct 25, 2002 at 06:46:30PM +0200, Lars Oeschey wrote:
Langsam verliere ich das Vertrauen in "Auto-dial", da hat zwar sehr gut funktioniert, aber jetzt weiss ich nicht mal, wie lange die firewall das schon macht. Mal sehen was die nächste Rechnung sagt.
Richtig. DOD ins Internet sollte man nur mit einer FLAT machen. Und Auto-Dial ist ja auch nicht "schuld" (wenn das eigene Netz richtig konfiguriert ist), sondern die Tatsache, das PointToPoint eben zwei Points hat ;-) die jeweils senden und empfangen.
Nur bei privaten Netzen, wo man auch die andere Seite unter Kontrolle hat ist es relativ ungefaehrlich (Ich habe aber auch schonmal durch einen vergessenen ping meine Rechnung verdreifacht).
SIC! Bis vor 1,2 Jahren denke ich konnte man DoD noch "riskieren" (sofern die eigene Konfiguration ok war). Mittlerweile, mit P2P-Tauschbörsen und dynamischer IP, ist das ein Vabanque-Spiel. Ich bevorzuge eine kontrollierte Ein/Abwahl. Jetzt ist es natürlich nicht sehr komfortabel jedesmal auf dem Router/Firewall "zu Fuß" oder per ssh die Verbindung händisch auf- bzw. abzubauen. Aber vielleicht als Vorschlag (und weil ich es mehrfach mit guten Erfahrungen installiert habe): Remote-Dial Tools In der Regel werdet ihr (wie ich auch) mit einem oder mehreren Clients (vielleicht noch mit unterschiedlichen Systemen) über den Linux-Router ins Internet gehen. Warum nicht von den *Clients* die Verbindung aufbauen bzw. eine bestehende Verbindung mitbenutzen lassen. Und das auch noch komfortabel. Ich benutze dazu den LineControl Server (http://linecontrol.sourceforge.net/) Server wird auf dem Router/FW installiert und konfiguriert. Client-Programme gibt es für Linux, WinX und als Java-Applikation. Das Prinip ist folgendes: Auf dem Router wird DoD nach manuell umgestellt. Serverseitig werden eine oder mehrere "Lines" konfiguriert die jeweils über ein seperates Script die Verbindung ausbauen. Das funktioniert sowohl mit ipppx (isdnctrl dial ...) als auch mit CAPI (pppd call ...). Abgebaut wird dann über ein Script was diese Verbindung wieder trennt. Die Möglichkeit mit verschiedenen Lines bietet auch eine sehr einfache Lösung, verschiedene Provider bzw. Zugänge zur Verfügung zu stellen. Kurz: Der Server verbindet auf Anfrage der Clients ins Internet zu einem jeweils vom Client gewählten Provider und trennt diese Verbindung auch auf Anfrage wieder. Wenn schon eine Verbindung besteht wird diese von anderen Clients mitbenutzt. Clientseitig gibt es die Tools um mit dem Server zu kommunizieren. Für KDE und Windows gibt es Tools die sich sehr gut in die jeweilige Oberfläche einbinden, ansonsten noch einen GTK-X-Client und als Java-Anwendung. Die Clients sehen die einzelnen "Lines" des Servers, können diese auswählen und eben eine Verbindung starten bzw. (wenn es der einzige oder "letzte" Client ist) eben wieder beenden. Datendurchsatz und Online-Zeit wird natürlich auch angezeigt. Das Paket masqdialer (oder so ähnlich) leistet IMHO ähnliches, das kenne ich aber nicht. Vielleicht kannte ja der eine oder andere diese Möglichkeit noch nicht. Ich werde (jedenfall ohne FLAT) nur noch diese Art der Einwahl verwenden, so schön DoD auch war). Schönes Wochenende Gruß Gerhard
![](https://seccdn.libravatar.org/avatar/d337c4c046b3985354c942c894410efd.jpg?s=120&d=mm&r=g)
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo! On Saturday 26 October 2002 13:58, Gerhard Brauer wrote:
Remote-Dial Tools [...]
Man kann das übrigens auch mit SuSE-Hausmitteln erreichen. Neuere Distributionen setzen hier ja auf smpppd (SuSE-Meta-PPPD) und kinternet. Dabei ist smpppd der Server, der den pppd (und damit die Einwahl) steuert, kinternet ist der Client, der smpppd steuert. Beide sind netzwerkfähig. Das heisst, man sollte problemlos smpppd auf dem Server und kinternet auf dem Client laufen lassen können. Ich habe das zwar noch nie ausprobiert, aber soweit ich das sehe, sollte es folgendermassen gehen: Man muss dazu den smpppd dazu bringen, einen Port nach aussen aufzumachen (Option open-inet-socket in /etc/smpppd.conf) und bei kinternet einen anderen Server einstellen (rechte Maustaste auf das Steckersymbol, Einstellungen/Verschiedene Einst.). Ohne Garantie, da nie selber ausprobiert... Ausserdem muss man natürlich darauf achten, dass niemand von aussen smpppd fernsteuern kann... - -- Ciao, Gernot -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.7 (GNU/Linux) iD8DBQE9uplIk997/GGeSeIRAoVUAJ0dM8od2Sp7Q35cnW6qvCn0uRjn0wCeN+uf rQxd7AXig4VtMW7H7+W2HvI= =do9v -----END PGP SIGNATURE-----
participants (5)
-
Gerhard Brauer
-
Gernot Hillier
-
H.-U. Jetter
-
Karsten Keil
-
Lars Oeschey