eMule und Kazaa aussperren [per Firewall]
Hallo, da meine Familie meine DSL Flatrate leider dazu missbraucht, sich alles mögliche runtenzuziehen an euch die Frage, ob es ne Möglichkeit gibt, die betreff. Ports nur ausgesuchten lokalen IP Adressen zugänglich zu machen. Vielen Dank... -- Mit freundlichem Gruß, Johannes Tyra
----- Original Message -----
From: "Johannes Tyra"
Hallo,
da meine Familie meine DSL Flatrate leider dazu missbraucht, sich alles mögliche runtenzuziehen an euch die Frage, ob es ne Möglichkeit gibt, die betreff. Ports nur ausgesuchten lokalen IP Adressen zugänglich zu machen.
Vielen Dank...
-- Mit freundlichem Gruß, Johannes Tyra
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Hallo Börni,
Ja sicherlich gibt es das. Aber warum sprichst du von "Missbrauchen"? Warumm sollen sie das nicht können bzw. dürfen?
Hmm, weil ich die Flatrate beruflich nutze und für mich oft keine Speed mehr übrig bleibt. Ich würde auch gerne eine Quota einrichten wenn das ginge.
Welchen Kernel fährst du?
Keine Ahnung, aber das ichnutze die IP Chains Version der Firewall, noch keine IP Tables. -- Mit freundlichem Gruß, Johannes Tyra
Am Samstag, 21. Dezember 2002 14:38 schrieb Johannes Tyra:
Hallo Börni,
Ja sicherlich gibt es das. Aber warum sprichst du von "Missbrauchen"? Warumm sollen sie das nicht können bzw. dürfen?
Huch, wo hast du denn den Text von Bernhard her?
Hmm, weil ich die Flatrate beruflich nutze und für mich oft keine Speed mehr übrig bleibt.
ISDN-Flatrate? Wo? Oder hast du DSL? Wie groß ist denn deine Familie, dass da kein Speed mehr übrig bleibt?
Ich würde auch gerne eine Quota einrichten wenn das ginge.
Welchen Kernel fährst du?
Keine Ahnung, aber das ichnutze die IP Chains Version der Firewall, noch keine IP Tables.
Mit ipchains geht es genauso wie mit iptables. Du kennst die Ports, die Kaaza und Konsorten benutzen? Dann ist der Rest nur ein wenig Handarbeit, wenn man sich erst einmal mit iptables (oder ipchains) bekannt gemacht hat. -- Gruß MaxX
Matthias Houdek schrieb:
Am Samstag, 21. Dezember 2002 14:38 schrieb Johannes Tyra:
Hmm, weil ich die Flatrate beruflich nutze und für mich oft keine Speed mehr übrig bleibt.
ISDN-Flatrate? Wo? Oder hast du DSL? Wie groß ist denn deine Familie, dass da kein Speed mehr übrig bleibt?
Ähem, selbst 768k werden von solchen File-Sharing-Prgrammen locker zugeknallt, insbesondere, wenn gerade das P2P-Netzwerk nach Dateien durchsucht wird... Man kann zwar einstellen, wieviel Prozent der Leitung das Programm an sich reißen darf, aber wenn da nur einer in der Familie "100 %" einstellt, ist die Leitung dicht. Also von daher kann ich seinen Einwand schon verstehen. Gruß, Patrick
Am Samstag, 21. Dezember 2002 17:34 schrieb Patrick Hess:
Matthias Houdek schrieb:
Am Samstag, 21. Dezember 2002 14:38 schrieb Johannes Tyra:
Hmm, weil ich die Flatrate beruflich nutze und für mich oft keine Speed mehr übrig bleibt.
ISDN-Flatrate? Wo? Oder hast du DSL? Wie groß ist denn deine Familie, dass da kein Speed mehr übrig bleibt?
Ähem, selbst 768k werden von solchen File-Sharing-Prgrammen locker zugeknallt, insbesondere, wenn gerade das P2P-Netzwerk nach Dateien durchsucht wird... Man kann zwar einstellen, wieviel Prozent der Leitung das Programm an sich reißen darf, aber wenn da nur einer in der Familie "100 %" einstellt, ist die Leitung dicht.
Also von daher kann ich seinen Einwand schon verstehen.
Also eher eine Erziehungsfrage? *g* -- Gruß MaxX
Danke Patrick... genauso iss es :-) Also ich nutze die Standard Firewall Version 1 [keinen 2.4er Kernel, deshalb IPChains basiert] der Firma Suse.
Matthias Houdek schrieb:
Am Samstag, 21. Dezember 2002 14:38 schrieb Johannes Tyra:
Hmm, weil ich die Flatrate beruflich nutze und für mich oft keine Speed mehr übrig bleibt.
ISDN-Flatrate? Wo? Oder hast du DSL? Wie groß ist denn deine Familie, dass da kein Speed mehr übrig bleibt?
Familie: 1 Bruder, 1 Schwester, 1 Vater (alle mit Pc und viel Zeit) Habe DSL...
Ähem, selbst 768k werden von solchen File-Sharing-Prgrammen locker zugeknallt, insbesondere, wenn gerade das P2P-Netzwerk nach Dateien durchsucht wird... Man kann zwar einstellen, wieviel Prozent der Leitung das Programm an sich reißen darf, aber wenn da nur einer in der Familie "100 %" einstellt, ist die Leitung dicht.
Also von daher kann ich seinen Einwand schon verstehen.
na sag ich doch... Also die Ports finde ich selber raus. Es würde schon reichen wenn alle Anfragen, die auf best. Ports gehe nur an ausgewählte lok. IP adressen weitergeroutet werden. Würde mittlerweile am liebsten nur Web, Pop3 und Smtp freigeben...naja. -- Mit freundlichem Gruß, Johannes Tyra
Patrick Hess wrote:
Hmm, weil ich die Flatrate beruflich nutze und für mich oft keine Speed mehr übrig bleibt.
ISDN-Flatrate? Wo? Oder hast du DSL? Wie groß ist denn deine Familie, dass da kein Speed mehr übrig bleibt?
Ähem, selbst 768k werden von solchen File-Sharing-Prgrammen locker zugeknallt, insbesondere, wenn gerade das P2P-Netzwerk nach Dateien durchsucht wird... Man kann zwar einstellen, wieviel Prozent der Leitung das Programm an sich reißen darf, aber wenn da nur einer in der Familie "100 %" einstellt, ist die Leitung dicht.
der einbruch in den downloadraten liegt meist an einem 'zugeknallten' upload. die antwortpakete werden dann nicht schnell genug gesendet. eine möglichkeit ist da 'http://lartc.org'. micha
Matthias Houdek wrote:
Mit ipchains geht es genauso wie mit iptables. Du kennst die Ports, die Kaaza und Konsorten benutzen? Dann ist der Rest nur ein wenig Handarbeit, wenn man sich erst einmal mit iptables (oder ipchains) bekannt gemacht hat.
die ports werden hier zu seinem problem. die sind zumindest bei edonkey/emule/mldonkey frei wählbar. einfach 4661/4662 tcp und 4665 udp dicht machen, hilft bei halbwegs geschickten anwendern dann nichts. micha
Hi Micha,
die ports werden hier zu seinem problem. die sind zumindest bei edonkey/emule/mldonkey frei wählbar. einfach 4661/4662 tcp und 4665 udp dicht machen, hilft bei halbwegs geschickten anwendern dann nichts.
Wie kann ich diese Ports (und andere) in meiner Firewall Script nur für best. IP Adressen sperren?? Weiss das jem?? -- Mit freundlichem Gruß, Johannes Tyra
Am Sam, 2002-12-21 um 19.13 schrieb Johannes Tyra:
Hi Micha,
die ports werden hier zu seinem problem. die sind zumindest bei edonkey/emule/mldonkey frei wählbar. einfach 4661/4662 tcp und 4665 udp dicht machen, hilft bei halbwegs geschickten anwendern dann nichts.
Wie kann ich diese Ports (und andere) in meiner Firewall Script nur für best. IP Adressen sperren??
Weiss das jem??
Am schnellsten kommst Du zum Ziel, indem Du dir mal man ipchains durchliest und zusätzliche Regeln in deine bestehende Firewall einbaust. So von der Art: Protokoll $prot von $IP nach Zielport $PORT_RANGE -j ACCEPT Das dürfte ein Aufwand von 20 Minuten sein, das nachzulesen, zumal es sich um eine *einzige* Regel handelt, die man für die erlaubten IPs nur jeweils anpassen muss. Ok, wenn man UDP dazu nimmt, wären es zwei. Ich glaube wenn Du Google mal ein bischen bemühst, brauchst Du noch nicht eimnal die Manpage lesen.... -- Matthias Hentges Cologne / Germany [www.hentges.net] -> PGP welcome, HTML tolerated ICQ: 97 26 97 4 -> No files, no URL's My OS: Debian Woody: Geek by Nature, Linux by Choice
Am Samstag, 21. Dezember 2002 19:26 schrieb Matthias Hentges:
die ports werden hier zu seinem problem. die sind zumindest bei edonkey/emule/mldonkey frei wählbar. einfach 4661/4662 tcp und 4665 udp dicht machen, hilft bei halbwegs geschickten anwendern dann nichts. Eben! Wollen wir nur einen Dienst einschränken?? Ziemlich sinnlos...
Wie kann ich diese Ports (und andere) in meiner Firewall Script nur für best. IP Adressen sperren?? Wir haben hier ein konzeptionelles Problem ;-))
Weiss das jem?? Bevor wir hier jetzt lustiges Port-raten spielen, empfehle ich folgendes. Starte auf Deinem Linux Gateway doch einfach mal den Squid. Dann gehst Du hin und konfigurierst die Firewall (besser: Paketfilter) ;-) Keiner darf irgendetwas! Dann erlaubst Du Deiner Familie nur das, was Du! möchtest! Das ist wesentlich effektiver...
-- GreetingZ, Christian __________________________________________ visit http://www.linuxarea.de - .LINUX. related
Am Montag, 23. Dezember 2002 09:24 schrieb Christian:
Am Samstag, 21. Dezember 2002 19:26 schrieb Matthias Hentges:
die ports werden hier zu seinem problem. die sind zumindest bei edonkey/emule/mldonkey frei wählbar. einfach 4661/4662 tcp und 4665 udp dicht machen, hilft bei halbwegs geschickten anwendern dann nichts.
Eben! Wollen wir nur einen Dienst einschränken?? Ziemlich sinnlos...
Wie kann ich diese Ports (und andere) in meiner Firewall Script nur für best. IP Adressen sperren??
Wir haben hier ein konzeptionelles Problem ;-))
Weiss das jem??
Bevor wir hier jetzt lustiges Port-raten spielen, empfehle ich folgendes. Starte auf Deinem Linux Gateway doch einfach mal den Squid. Dann gehst Du hin und konfigurierst die Firewall (besser: Paketfilter) ;-) Keiner darf irgendetwas! Dann erlaubst Du Deiner Familie nur das, was Du! möchtest! Das ist wesentlich effektiver...
Genau. Woran man wieder einmal sieht, dass ein Paketfilter noch lange keine Firewall ist. In vernünftig konfigurierter Proxy gehört zumindest auch dazu. Und ein (aktueller!) Virenscanner. Der Paketfilter dient dann nur noch dazu, alle Durchgänge dicht zu machen. Und das kann er prima. Alle Anwendungen haben für den Verkehr ins andere Netz ihren Stellvertreter (Proxy), der die "gefährlichen" Direktverbindungen übernimmt und alles "böse" wegsteckt. Wie im richtigen Leben, da werden auch nur die Mittelsmänner vorgeschickt ;-) -- Gruß MaxX
Johannes Tyra wrote:
Hi Micha,
'http://www.hennevogel.de/etikette/'. dort ist für dich punkt 12 interessant.
die ports werden hier zu seinem problem. die sind zumindest bei edonkey/emule/mldonkey frei wählbar. einfach 4661/4662 tcp und 4665 udp dicht machen, hilft bei halbwegs geschickten anwendern dann nichts.
Wie kann ich diese Ports (und andere) in meiner Firewall Script nur für best. IP Adressen sperren??
,-----[ /etc/rc.config.d/firewall.rc.config ] | Choice: leave empty or any number of hosts/networks seperated by a | space. Every host/network may get a list of allowed services, | otherwise everything is allowed. A protocol and service is appended | by a comma to the host/network. e.g. "10.0.0.0/8" allows the whole | 10.0.0.0 network with unrestricted access "10.0.1.0/24,tcp,80 | 10.0.1.0/24,tcp,21" allows the 10.0.1.0 network to use www/ftp to | the internet. "10.0.1.0/24,tcp,1024:65535 10.0.2.0/24" is OK too. | You may NOT set this variable to "0/0" ! | | FW_MASQ_NETS="10.0.0.0/8" # allow all internal nets full internet | access `----- angenommen du hast ein 192.168.1.0 netz. die IP deines rechners ist die 192.168.1.5. ,-----[ /etc/rc.config.d/firewall.rc.config ] | FW_MASQ_NETS="192.168.1.5 192.168.1.0/24,tcp,80 192.168.1.0/24,tcp,25 | 192.168.1.0/24,tcp,110" `----- die ip 192.168.1.5 kann alles, das netz 192.168.1.0/24 kann www,smtp und pop3 nutzen. micha
Am Samstag, 21. Dezember 2002 14:14 schrieb Johannes Tyra:
Hallo,
da meine Familie meine DSL Flatrate leider dazu missbraucht, sich alles mögliche runtenzuziehen an euch die Frage, ob es ne Möglichkeit gibt, die betreff. Ports nur ausgesuchten lokalen IP Adressen zugänglich zu machen.
Vielen Dank...
man iptables In den SuSEFirewall-Configs sollte es auch möglich sein (IIRC) - über Yast allerdings nicht. iptables ist aber auf jeden Fall die bessere Wahl und gar nicht so schwer, wie es vielleicht am Anfang aussieht. -- Gruß MaxX
Am Samstag, 21. Dezember 2002 15:09 schrieb Johannes Tyra:
Hi Maxx,
In den SuSEFirewall-Configs sollte es auch möglich sein (IIRC) - über Yast allerdings nicht.
wüsste halt nur wie ich das in der Firewall einstelle. Da gibts doch garantiert ne Zeile zu ändern...
In _der_ Firewall? Welche Firewall denn? Was nutzt du? Ist aber egal, genau kann ich es dir bestimmt nicht sagen, da ich eigene Paketfilter benutze (und noch einiges mehr). -- Gruß MaxX, Quotenossi und Plenker(er) 8-)
participants (7)
-
Bernhard Janetzki -
Christian -
Johannes Tyra -
Matthias Hentges -
Matthias Houdek -
Michael Meyer -
patrick_hess@t-online.de