Frage: active-filter fuer Isdn?
Hi, hab gerade den Artikel der c't ueber die active-filter des pppd vor mir liegen. Nun frage ich mich, ob es sowas auch fuer den ipppd gibt, bzw. wie ich bei isdn verhindere, das ungewollte Packete meine Verbindung offen halten? cu, Kai -- Unicontrol Systemtechnik GmbH Sachsenburger Weg 34, 09669 Frankenberg / OT Dittersbach Email: k.kuerschner@unicontrol.de
On 17 Feb 2003 at 13:28, Kai Kürschner wrote:
Hi,
hab gerade den Artikel der c't ueber die active-filter des pppd vor mir liegen. Nun frage ich mich, ob es sowas auch fuer den ipppd gibt, bzw. wie ich bei isdn verhindere, das ungewollte Packete meine Verbindung offen halten?
Ich weiss nicht, ob Dir das hilft: Bis zum DSL-Umstieg hatte ich mit ISDN _kein_ active_filter laufen und das Teil hat _nie_ die ganze nacht online verbracht. Seit DSL hatte ich das Problem mit dem nicht "auflegen". Wichtig ist bei ISDN nur, das Du evtl. vorhandenen regelmäßigen Traffic (z.B. durch Windows PCs) intern abblockst. Die massiven externen Zugriffe auf (überwiegend) eDonkey-Ports sind IMO ein DSL-Problem (mit ISDN nimmt da wohl kaum einer teil). Aber wie gesagt, das mag Dir evtl. nicht helfen. Andreas
* Am Mon, 17 Feb 2003 schrieb Andreas Kyek:
On 17 Feb 2003 at 13:28, Kai Kürschner wrote:
hab gerade den Artikel der c't ueber die active-filter des pppd vor mir liegen. Nun frage ich mich, ob es sowas auch fuer den ipppd gibt, bzw. wie ich bei isdn verhindere, das ungewollte Packete meine Verbindung offen halten?
Ich weiss nicht, ob Dir das hilft:
Bis zum DSL-Umstieg hatte ich mit ISDN _kein_ active_filter laufen und das Teil hat _nie_ die ganze nacht online verbracht. Seit DSL hatte ich das Problem mit dem nicht "auflegen".
Wichtig ist bei ISDN nur, das Du evtl. vorhandenen regelmäßigen Traffic (z.B. durch Windows PCs) intern abblockst.
Die massiven externen Zugriffe auf (überwiegend) eDonkey-Ports sind IMO ein DSL-Problem (mit ISDN nimmt da wohl kaum einer teil).
Aber wie gesagt, das mag Dir evtl. nicht helfen.
Also ich würde mir auch einen active-Filter für ISDN wünschen. Zwar ist das Szenario "Ganze Nacht online" vielleicht übertrieben, aber es kommt schon sehr häufig vor, daß die Verbindung durch ankommende Pakete offengehalten wird. Das Risiko ist bei Massenprovidern sicherlich größer als bei kleinen, feinen. Aber bei mir - ich nutze Freenet - kommen sehr häufig Anfragen auf den 139er Port von außen. Meine Firewall blockt die dann zwar, aber das Device wird dadurch natürlich offengehalten. Ich nehme mal an, das sind vor allem Leute, die versuchen rauszufinden, ob da irgendwelche leichtsinnigen Windows-Nutzer ihre Daten mit der ganzen Welt sharen wollen. Und Filesharing-Nutzer gibt es, denke ich, auch mit ISDN ne ganze Menge. Gruß Christoph -- Christoph Maurer - 52072 Aachen - Tux#194235 mailto:christoph-maurer@gmx.de - http://www.christophmaurer.de Auf der Homepage u.a.: Installation von SuSE 7.0 auf Notebook Acer Travelmate 508 T, Elektrotechnik an der RWTH Aachen
Christoph Maurer schrieb:
Also ich würde mir auch einen active-Filter für ISDN wünschen. Zwar ist das Szenario "Ganze Nacht online" vielleicht übertrieben, aber es kommt schon sehr häufig vor, daß die Verbindung durch ankommende Pakete offengehalten wird. Das Risiko ist bei Massenprovidern sicherlich größer als bei kleinen, feinen. Aber bei mir - ich nutze Freenet - kommen sehr häufig Anfragen auf den 139er Port von außen. Meine Firewall blockt die dann zwar, aber das Device wird dadurch natürlich offengehalten. Ich nehme mal an, das sind vor allem Leute, die versuchen rauszufinden, ob da irgendwelche leichtsinnigen Windows-Nutzer ihre Daten mit der ganzen Welt sharen wollen.
Und Filesharing-Nutzer gibt es, denke ich, auch mit ISDN ne ganze Menge.
Hi! Das kann ich nur bestätigen. Ich bin mit ISDN über einen kleinen, feinen Provider online. Es gibt Abende, da wird mein Router ziemlich in Ruhe gelassen. An anderen aber ist noch nicht mal die SuSEFirewall2 durchgelaufen, da werden schon Pakete auf den Samba- und Esel-Ports geblockt. Das Filtering geht AFAIK _nicht_ für ipppd, da es den smpppd nutzt. Eine (kleine) Hilfe bei mir war, die Option "STop on disconnect" auf "always" zu setzen. Habe bloß grad nicht die Datei im Kopf, wo das geändert werden muss. Grüße aus Flensburg, Arne Metzger
* Am Mon, 17 Feb 2003 schrieb Arne Metzger:
Christoph Maurer schrieb:
Also ich würde mir auch einen active-Filter für ISDN wünschen. Zwar ist das Szenario "Ganze Nacht online" vielleicht übertrieben, aber es kommt schon sehr häufig vor, daß die Verbindung durch ankommende Pakete offengehalten wird. Das Risiko ist bei Massenprovidern sicherlich größer als bei kleinen, feinen. Aber bei mir - ich nutze Freenet - kommen sehr häufig Anfragen auf den 139er Port von außen. Meine Firewall blockt die dann zwar, aber das Device wird dadurch natürlich offengehalten. Ich nehme mal an, das sind vor allem Leute, die versuchen rauszufinden, ob da irgendwelche leichtsinnigen Windows-Nutzer ihre Daten mit der ganzen Welt sharen wollen.
Und Filesharing-Nutzer gibt es, denke ich, auch mit ISDN ne ganze Menge.
Hi!
Das kann ich nur bestätigen. Ich bin mit ISDN über einen kleinen, feinen Provider online. Es gibt Abende, da wird mein Router ziemlich in Ruhe gelassen. An anderen aber ist noch nicht mal die SuSEFirewall2 durchgelaufen, da werden schon Pakete auf den Samba- und Esel-Ports geblockt.
Das Filtering geht AFAIK _nicht_ für ipppd, da es den smpppd nutzt. Eine (kleine) Hilfe bei mir war, die Option "STop on disconnect" auf "always" zu setzen. Habe bloß grad nicht die Datei im Kopf, wo das geändert werden muss.
Was ist das für eine Option? Die hört sich für mich so an, als ob das ippp-Device jedesmal gelöscht wird. Was das in dem Zusammenhang brächte, verstehe ich aber nicht. Gruß Christoph -- Christoph Maurer - 52072 Aachen - Tux#194235 mailto:christoph-maurer@gmx.de - http://www.christophmaurer.de Auf der Homepage u.a.: Installation von SuSE 7.0 auf Notebook Acer Travelmate 508 T, Elektrotechnik an der RWTH Aachen
Christoph Maurer schrieb:
Hi!
Das kann ich nur bestätigen. Ich bin mit ISDN über einen kleinen, feinen Provider online. Es gibt Abende, da wird mein Router ziemlich in Ruhe gelassen. An anderen aber ist noch nicht mal die SuSEFirewall2 durchgelaufen, da werden schon Pakete auf den Samba- und Esel-Ports geblockt.
Das Filtering geht AFAIK _nicht_ für ipppd, da es den smpppd nutzt. Eine (kleine) Hilfe bei mir war, die Option "STop on disconnect" auf "always" zu setzen. Habe bloß grad nicht die Datei im Kopf, wo das geändert werden muss.
Was ist das für eine Option? Die hört sich für mich so an, als ob das ippp-Device jedesmal gelöscht wird. Was das in dem Zusammenhang brächte, verstehe ich aber nicht.
Problem: ich habe momentan keine Ahnung, in welcher config die Option drinsteht. Sie bewirkt aber, daß der smpppd die ISDN-Verbindung beendet, nachdem sich der letzte Client abgemeldet hat (sprich keine aktiven Verbindungen mehr nach draußen bestehen). Funktioniert bei mir zuverlässig. Das Device wird dadurch _nicht_ gelöscht, Effekt ist der gleiche wie ifdown ippp0 && ifup ippp0. Arne
Andreas Kyek wrote:
On 17 Feb 2003 at 13:28, Kai Kürschner wrote:
Hi,
hab gerade den Artikel der c't ueber die active-filter des pppd vor mir liegen. Nun frage ich mich, ob es sowas auch fuer den ipppd gibt, bzw. wie ich bei isdn verhindere, das ungewollte Packete meine Verbindung offen halten?
Wichtig ist bei ISDN nur, das Du evtl. vorhandenen regelmäßigen Traffic (z.B. durch Windows PCs) intern abblockst.
Dafuer ist schon gesorgt. Der Zugriff nach aussen ist nur ueber Proxy moeglich. Es gibt kein Masquerading. Es gibt auch eine Firewall die alles von aussen kommende abblockt. Allerdings sind halt solche Packete dann schon durch das isdn-device durch, sodass die Verbindung offen bleibt.
Die massiven externen Zugriffe auf (überwiegend) eDonkey-Ports sind IMO ein DSL-Problem (mit ISDN nimmt da wohl kaum einer teil).
Das ist ja nicht ein Problem ob man mit isdn teilnimmt oder nicht, sondern das man beim einwaehlen eine dynamische Ip vom Provider bekommt, die evtl. vorher eine hatte der eDonkey & Co. benutzte und ich dadurch ungewollte Packete erhalte. Auserdem hab wir die Telekom als Provider, sodass sich die ungewollten Packete schon haeufen. Ich will einfach nur sicher gehen, das wir nur solange online sind wie _wir_ es wollen. cu, Kai -- Unicontrol Systemtechnik GmbH Sachsenburger Weg 34, 09669 Frankenberg / OT Dittersbach Email: k.kuerschner@unicontrol.de
On 17 Feb 2003 at 14:15, Kai Kürschner wrote:
Andreas Kyek wrote:
On 17 Feb 2003 at 13:28, Kai Kürschner wrote:
Hi,
hab gerade den Artikel der c't ueber die active-filter des pppd vor mir liegen. Nun frage ich mich, ob es sowas auch fuer den ipppd gibt, bzw. wie ich bei isdn verhindere, das ungewollte Packete meine Verbindung offen halten?
Wichtig ist bei ISDN nur, das Du evtl. vorhandenen regelmäßigen Traffic (z.B. durch Windows PCs) intern abblockst.
Dafuer ist schon gesorgt. Der Zugriff nach aussen ist nur ueber Proxy moeglich. Es gibt kein Masquerading. Es gibt auch eine Firewall die alles von aussen kommende abblockt. Allerdings sind halt solche Packete dann schon durch das isdn-device durch, sodass die Verbindung offen bleibt.
Wichtig ist, das evtl. Netbios Pakete (samba etc.) nicht über das ISDN-Interface rauskommen! Hier musst Du Deine Firewall/samba etc. entsprechend konfigurieren.
Die massiven externen Zugriffe auf (überwiegend) eDonkey-Ports sind IMO ein DSL-Problem (mit ISDN nimmt da wohl kaum einer teil).
Das ist ja nicht ein Problem ob man mit isdn teilnimmt oder nicht,
Ist es doch! IMO sind die IP-Pools gerade bei T-Online, was ich auch benutze, von DSL und ISDN Einwahlen getrennt. Daher macht es hier durchaus einen _signifikanten_ Unterschied für diese externen Requests, ob man sich mittels DSL oder ISDN einwählt. Die Massen von externen Requests bei DSL kannst Du mit den Requests über ISDN nun wirklich nicht annähernd vergleichen. Jedenfalls zeigen das meine Erfahrungen bei meinem Anschluss sowie den von mir betreuten Rechnern.
sondern das man beim einwaehlen eine dynamische Ip vom Provider bekommt, die evtl. vorher eine hatte der eDonkey & Co. benutzte und ich dadurch ungewollte Packete erhalte. Auserdem hab wir die Telekom als Provider, sodass sich die ungewollten Packete schon haeufen. Ich will einfach nur sicher gehen, das wir nur solange online sind wie _wir_ es wollen.
Der Rest der Beschreibung stimmt. Aber wie gesagt: Ich habe mit ISDN die Probleme nicht wirklich gehabt und mit DSL sehr wohl. Vielleicht hat ab und zu ein falsch adressiertes Netbios Paket meine Leitung ein Zeitlang aufgelassen; aber das war nie lange. (Zumindest hatte ich nie entsprechende Probleme mit der Rechnung) Das alles mag Dir aber, wie schon gesagt, nicht wirklich helfen. Andreas
* Montag, 17. Februar 2003 um 13:28 (+0100) schrieb Kai Kürschner:
hab gerade den Artikel der c't ueber die active-filter des pppd vor mir liegen. Nun frage ich mich, ob es sowas auch fuer den ipppd gibt,
Vor 2 Wochen wurde in lkml ein active-filter-Patch für den ipppd gepostet. Einfach mal im Archiv von lkml suchen. (Subject: "[RFC]: CONFIG_IPPP_FILTER") Gruß Andreas -- Andreas Könecke "Andreas Koenecke <akoenecke@akoenecke.de>" PGP-ID/Fingerprint: BD7C2E59/3E 11 E5 29 0C A8 2F 49 40 6C 2D 5F 12 9D E1 E3 PGP-Key on request or on public keyservers --
* Am Mon, 17 Feb 2003 schrieb Andreas Koenecke:
* Montag, 17. Februar 2003 um 13:28 (+0100) schrieb Kai Kürschner:
hab gerade den Artikel der c't ueber die active-filter des pppd vor mir liegen. Nun frage ich mich, ob es sowas auch fuer den ipppd gibt,
Vor 2 Wochen wurde in lkml ein active-filter-Patch für den ipppd gepostet. Einfach mal im Archiv von lkml suchen. (Subject: "[RFC]: CONFIG_IPPP_FILTER")
Hast Du das ausprobiert? Echo auf der lkml war ja gering... Gruß Christoph -- Christoph Maurer - 52072 Aachen - Tux#194235 mailto:christoph-maurer@gmx.de - http://www.christophmaurer.de Auf der Homepage u.a.: Installation von SuSE 7.0 auf Notebook Acer Travelmate 508 T, Elektrotechnik an der RWTH Aachen
* Montag, 17. Februar 2003 um 16:00 (+0100) schrieb Christoph Maurer:
* Am Mon, 17 Feb 2003 schrieb Andreas Koenecke:
Vor 2 Wochen wurde in lkml ein active-filter-Patch für den ipppd gepostet. Einfach mal im Archiv von lkml suchen. (Subject: "[RFC]: CONFIG_IPPP_FILTER")
Hast Du das ausprobiert? Echo auf der lkml war ja gering...
Ich habe damit gerade ein bisschen herumgespielt: - Patchen der Kernel-Quellen und der isdn4k-utils funktioniert. (Bei den isdn4-utils mit ein paar Offsets...) - Kernelmodule und ipppd werden problemlos kompiliert. - Der ipppd startet ohne Fehlermeldung mit einem "active-filter ..."-Eintrag in der 'options.ipppX'. Aber ob der Filter auch "greift", kann ich nicht überprüfen, da ich wegen DSL keinen ISDN-Zugang mehr nutze. Gruß Andreas -- Andreas Könecke "Andreas Koenecke <akoenecke@akoenecke.de>" PGP-ID/Fingerprint: BD7C2E59/3E 11 E5 29 0C A8 2F 49 40 6C 2D 5F 12 9D E1 E3 PGP-Key on request or on public keyservers --
* Am Mon, 17 Feb 2003 schrieb Andreas Koenecke:
* Montag, 17. Februar 2003 um 16:00 (+0100) schrieb Christoph Maurer:
* Am Mon, 17 Feb 2003 schrieb Andreas Koenecke:
Vor 2 Wochen wurde in lkml ein active-filter-Patch für den ipppd gepostet. Einfach mal im Archiv von lkml suchen. (Subject: "[RFC]: CONFIG_IPPP_FILTER")
Hast Du das ausprobiert? Echo auf der lkml war ja gering...
Ich habe damit gerade ein bisschen herumgespielt:
- Patchen der Kernel-Quellen und der isdn4k-utils funktioniert. (Bei den isdn4-utils mit ein paar Offsets...)
- Kernelmodule und ipppd werden problemlos kompiliert.
- Der ipppd startet ohne Fehlermeldung mit einem "active-filter ..."-Eintrag in der 'options.ipppX'.
Aber ob der Filter auch "greift", kann ich nicht überprüfen, da ich wegen DSL keinen ISDN-Zugang mehr nutze.
Okay, wenn ich Zeit habe, teste ich es nächste Woche mal... Gruß Christoph -- Christoph Maurer - 52072 Aachen - Tux#194235 mailto:christoph-maurer@gmx.de - http://www.christophmaurer.de Auf der Homepage u.a.: Installation von SuSE 7.0 auf Notebook Acer Travelmate 508 T, Elektrotechnik an der RWTH Aachen
Hallo Andreas und Christoph, da ich auch von dem leidigen Problem offener ISDN-Verbindungen wg. externen TCP/ICMP-Verkehrs betroffen bin und hier über euren Thread gestolpert bin muss ich doch gleich eine Frage los werden. Lohnt es sich eurer Meinung nach noch auf einen Kernel 2.4.20 für 7.3 zu warten, sprich wird SuSE den noch certifizieren? Oder sollten man selbst, wie Du Andreas, den Kernel patchen? Wenn 2., dann würde ich gerne wissen wie ich die Source von u.g. Mail in die vorliegende Source 2.4.16 patche? Könnt ihr ein paar Tips dazu geben? Vielen Dank schon vorab. Gruss Thorsten Ziercke -----Ursprüngliche Nachricht----- Von: Andreas Koenecke [mailto:akoenecke@akoenecke.de] Gesendet: Montag, 17. Februar 2003 21:24 An: suse-isdn@suse.com Betreff: Re: [suse-isdn] Frage: active-filter fuer Isdn? * Montag, 17. Februar 2003 um 16:00 (+0100) schrieb Christoph Maurer:
* Am Mon, 17 Feb 2003 schrieb Andreas Koenecke:
Vor 2 Wochen wurde in lkml ein active-filter-Patch für den ipppd gepostet. Einfach mal im Archiv von lkml suchen. (Subject: "[RFC]: CONFIG_IPPP_FILTER")
Hast Du das ausprobiert? Echo auf der lkml war ja gering...
Ich habe damit gerade ein bisschen herumgespielt: - Patchen der Kernel-Quellen und der isdn4k-utils funktioniert. (Bei den isdn4-utils mit ein paar Offsets...) - Kernelmodule und ipppd werden problemlos kompiliert. - Der ipppd startet ohne Fehlermeldung mit einem "active-filter ..."-Eintrag in der 'options.ipppX'. Aber ob der Filter auch "greift", kann ich nicht überprüfen, da ich wegen DSL keinen ISDN-Zugang mehr nutze. Gruß Andreas -- Andreas Könecke "Andreas Koenecke <akoenecke@akoenecke.de>" PGP-ID/Fingerprint: BD7C2E59/3E 11 E5 29 0C A8 2F 49 40 6C 2D 5F 12 9D E1 E3 PGP-Key on request or on public keyservers -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-isdn-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-isdn-help@suse.com
* Am Don, 20 Feb 2003 schrieb Thorsten Ziercke:
Hallo Andreas und Christoph, da ich auch von dem leidigen Problem offener ISDN-Verbindungen wg. externen TCP/ICMP-Verkehrs betroffen bin und hier über euren Thread gestolpert bin muss ich doch gleich eine Frage los werden. Lohnt es sich eurer Meinung nach noch auf einen Kernel 2.4.20 für 7.3 zu warten, sprich wird SuSE den noch certifizieren? Oder sollten man selbst, wie Du Andreas, den Kernel patchen?
Zertifizieren sicher nicht, ich glaube davon ist nicht auszugehen, abgesehen davon hilft es Dir nicht, da Du den entsprechenden Patch nicht drin hättest.
Wenn 2., dann würde ich gerne wissen wie ich die Source von u.g. Mail in die vorliegende Source 2.4.16 patche? Könnt ihr ein paar Tips dazu geben?
2.4.16 wird Dir da mit hoher Wahrscheinlichkeit nicht helfen, Du wirst Dir schon einen 2.4.20-vanilla besorgen müssen, dafür ist der Patch nämlich, wenn ich das richtig gesehen habe. Kompilier Di den erstmal, damit Du testen kannst ob er läuft und dann patchst Du den Kernel. Grundsätzlich geht das mit cat <patchfile> | patch -p<Patchlevel=Anzahl der zu ignorierenden Verzeichnisnamen am Beginn der Dateinamen> Der Patch ist aber nicht nur für den Kernel selbst gewesen, sondern auch für die isdn4k-utils, deren Quellcode Du entsprechend behandeln musst. Gruß Christoph -- Christoph Maurer - 52072 Aachen - Tux#194235 mailto:christoph-maurer@gmx.de - http://www.christophmaurer.de Auf der Homepage u.a.: Installation von SuSE 7.0 auf Notebook Acer Travelmate 508 T, Elektrotechnik an der RWTH Aachen
Hallo Andreas und Christoph, da ich auch von dem leidigen Problem offener ISDN-Verbindungen wg. externen TCP/ICMP-Verkehrs betroffen bin und hier über euren Thread gestolpert bin muss ich doch gleich eine Frage los werden. Lohnt es sich eurer Meinung nach noch auf einen Kernel 2.4.20 für 7.3 zu warten, sprich wird SuSE den noch certifizieren? Oder sollten man selbst, wie Du Andreas, den Kernel
Hallo Christoph, vielen Dank für die Antwort. Werde sobald ich mal wieder etwas Zeit habe damit rum spielen. Gruß Thorsten -----Ursprüngliche Nachricht----- Von: Christoph Maurer [mailto:christoph-maurer@gmx.de] Gesendet: Freitag, 21. Februar 2003 08:10 An: suse-isdn@suse.com Betreff: Re: [suse-isdn] Frage: active-filter fuer Isdn? * Am Don, 20 Feb 2003 schrieb Thorsten Ziercke: patchen? Zertifizieren sicher nicht, ich glaube davon ist nicht auszugehen, abgesehen davon hilft es Dir nicht, da Du den entsprechenden Patch nicht drin hättest.
Wenn 2., dann würde ich gerne wissen wie ich die Source von u.g. Mail in
die
vorliegende Source 2.4.16 patche? Könnt ihr ein paar Tips dazu geben?
2.4.16 wird Dir da mit hoher Wahrscheinlichkeit nicht helfen, Du wirst Dir schon einen 2.4.20-vanilla besorgen müssen, dafür ist der Patch nämlich, wenn ich das richtig gesehen habe. Kompilier Di den erstmal, damit Du testen kannst ob er läuft und dann patchst Du den Kernel. Grundsätzlich geht das mit cat <patchfile> | patch -p<Patchlevel=Anzahl der zu ignorierenden Verzeichnisnamen am Beginn der Dateinamen> Der Patch ist aber nicht nur für den Kernel selbst gewesen, sondern auch für die isdn4k-utils, deren Quellcode Du entsprechend behandeln musst. Gruß Christoph -- Christoph Maurer - 52072 Aachen - Tux#194235 mailto:christoph-maurer@gmx.de - http://www.christophmaurer.de Auf der Homepage u.a.: Installation von SuSE 7.0 auf Notebook Acer Travelmate 508 T, Elektrotechnik an der RWTH Aachen -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-isdn-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-isdn-help@suse.com
participants (6)
-
Andreas Koenecke -
Andreas Kyek -
Arne Metzger -
Christoph Maurer -
Kai Kürschner -
Thorsten Ziercke