Hallo, einige M$-PC's (Win98) sollen via einem Linux-PC vor M$-Zugriffen geschützt werden. Welche IP's sollten da gesperrt werden ? Habe schon das (sorry, veraltete ipchains, aber iptables will unter 7.2 bei mir halt nicht) /sbin/ipchains -A output -d 212.184.80.190 www -p tcp -y -j REJECT /sbin/ipchains -A output -d 207.46.249.27 www -p tcp -y -j REJECT /sbin/ipchains -A output -d 207.46.196.115 www -p tcp -y -j REJECT /sbin/ipchains -A output -d 207.68.172.246 www -p tcp -y -j REJECT /sbin/ipchains -A output -d www.microsoft.com www -p tcp -y -j REJECT /sbin/ipchains -A output -d www.microsoft.de www -p tcp -y -j REJECT /sbin/ipchains -A output -d home.microsoft.com www -p tcp -y -j REJECT thx Ekkard
Moin Ekkard, * Ekkard Gerlach schrieb am 01 Jan 2003:
einige M$-PC's (Win98) sollen via einem Linux-PC vor M$-Zugriffen geschützt werden. Welche IP's sollten da gesperrt werden ?
Was sind denn genau MS-Zugriffe? http-Zugriffe auf *.microsoft.(com|de) ? Oder Windowsupdate? Oder willst du verhindern, daß MS-Produkte automatisch "nach Hause telefonieren", sich also ungewollt oder unbemerkt mit Microsoft-Servern verbinden? Mit dem angegebenen Regelwerk wirst du den kompletten Zugriff auf die MS-Server sperren (jedenfalls auf die angegebenen). Erklär doch mal genau, was du vorhast. Gruß, Sebastian -- Do not meddle in the affairs of wizards, for they are subtle and quick to anger. Sebastian Helms - http://www.helms.sh - mailto:mail@helms.sh (PGP welcome) SuSE-Linux-Mailinglisten-FAQ: http://www.helms.sh/faq/
n'abend, sorry für die verspätete Reaktion, war weg. * Sebastian Helms schrieb:
einige M$-PC's (Win98) sollen via einem Linux-PC vor M$-Zugriffen geschützt werden. Welche IP's sollten da gesperrt werden ?
Was sind denn genau MS-Zugriffe? http-Zugriffe auf *.microsoft.(com|de) ? Oder Windowsupdate? Oder willst du verhindern, daß MS-Produkte automatisch "nach Hause telefonieren", sich also ungewollt oder unbemerkt mit Microsoft-Servern verbinden?
jau, zum einen genau das. M$ schwätz ab win98 schon nach Redmont, so jedenfalls einhellig der Tenor aus den Listen. Zum zweiten: Immer wenn der IE gestartet wird oder wenn irgendeine URL nicht erreichbar ist, schaltet der IE ja nach MSN oder gleich nach Redmont. Mein Eltern und Geschwister starren dann gebannt auf den IE und fragen mich warum jetzt M$ angezeigt wird das soll. Jetzt ist die M$-Zwangs- umleitung eben aus und das Fenster leer (hehe ..) :)) Klar, den NN 7.0 habe ich auch aufgespielt, aber die benutzen eben was sie wollen. Also nochmal: welche IP's sperren? thx Ekkard
Hi, 0n 03/01/02@23:07 Ekkard Gerlach told me:
n'abend,
sorry für die verspätete Reaktion, war weg.
* Sebastian Helms schrieb:
einige M$-PC's (Win98) sollen via einem Linux-PC vor M$-Zugriffen geschützt werden. Welche IP's sollten da gesperrt werden ?
Was sind denn genau MS-Zugriffe? http-Zugriffe auf *.microsoft.(com|de) ? Oder Windowsupdate? Oder willst du verhindern, daß MS-Produkte automatisch "nach Hause telefonieren", sich also ungewollt oder unbemerkt mit Microsoft-Servern verbinden?
jau, zum einen genau das. M$ schwätz ab win98 schon nach Redmont, so jedenfalls einhellig der Tenor aus den Listen.
Zum zweiten: Immer wenn der IE gestartet wird oder wenn irgendeine URL nicht erreichbar ist, schaltet der IE ja nach MSN oder gleich nach Redmont. Mein Eltern und Geschwister starren dann gebannt auf den IE und fragen mich warum jetzt M$ angezeigt wird das soll. Jetzt ist die M$-Zwangs- umleitung eben aus und das Fenster leer (hehe ..) :)) Klar, den NN 7.0 habe ich auch aufgespielt, aber die benutzen eben was sie wollen.
Also nochmal: welche IP's sperren?
microsoft.com: CIDR: 207.46.0.0/16 www.microsoft.de haengt an inetnum: 212.184.80.0 - 212.184.81.255 Schau hier ob Du von derren Namensraum was brauchen wirst: http://www.stoll-fischbach.de/ MSN laeuft wohl ueber: CIDR: 207.68.128.0/18, 207.68.192.0/20 (man dig, man whois) Ich kann mir nicht vorstellen, dass das alles ist :( -- bye maik
* Maik Holtkamp schrieb:
Also nochmal: welche IP's sperren?
microsoft.com: CIDR: 207.46.0.0/16
www.microsoft.de haengt an inetnum: 212.184.80.0 - 212.184.81.255
Schau hier ob Du von derren Namensraum was brauchen wirst: http://www.stoll-fischbach.de/
MSN laeuft wohl ueber: CIDR: 207.68.128.0/18, 207.68.192.0/20
(man dig, man whois)
Ich kann mir nicht vorstellen, dass das alles ist :(
besten Dank. Habe übrigens von " mr-j@mailexpress.de " ohne Namen und ohne Unterschrift eine PM bekommen, wo mir mit viel Geschrei versucht wird auszureden, daß ich M$ sperre. M$-Hasser hätten das Märchen einer M$-Spionage erfunden und nix sei nachgewiesen ... Es scheint an der Spionage also wirklich etwas dran zu sein. Auszug aus der PM: [...]
jau, zum einen genau das. M$ schwätz ab win98 schon nach Redmont, so jedenfalls einhellig der Tenor aus den Listen. Woo hast duu den Müll her, bitte. Dieses ist nicht bewiesen und wird auch nie Beiwiesen werden. Das ist nur Propaganda einiger MS gegner. Windows wird von namhaften Universitäten (und nicht nur Universitäten) auf solche Aussagen hin auseinandergelegt. Und es ist nicht mal bei Windows 2000 nachgewiesen. [...]
thx Ekkard
Ekkard Gerlach wrote:
* Maik Holtkamp schrieb:
jau, zum einen genau das. M$ schwätz ab win98 schon nach Redmont, so jedenfalls einhellig der Tenor aus den Listen. Woo hast duu den Müll her, bitte. Dieses ist nicht bewiesen und wird auch nie Beiwiesen werden. Das ist nur Propaganda einiger MS gegner. Windows wird von namhaften Universitäten (und nicht nur Universitäten) auf solche Aussagen hin auseinandergelegt. Und es ist nicht mal bei Windows 2000 nachgewiesen.
Es IST dummes Geschwätz. Windows implementiert einige Dinge z.B. die Zwangsregistrierung, den Messenger oder das automatische Systemupdate, die den Eindruck erwecken, es werden permanent sensible Daten übermittelt, die Microsoft nichts angehen. De facto ist das nicht so und wer sich ein wenig auskennt hat keine Mühe, diese "Neugier" zu beenden. Es wurde nie etwas anderes nachgewiesen, obwohl sich ganze Scharen von Microsoft-Gegnern GERADE darum bemüht haben. In dem Moment, in dem ich ein "online-update" durchführe werden Daten übermittelt, das ist bei YAST auch nicht anders. Damit muß ich leben oder meine Updates händisch durchführen, das ist bei Windows so aber auch bei Linux. Mir ist da eher das Verhalten einzelner Anwendungen unheimlich, wo ich gelegentlich nicht einschätzen kann, was übermittelt wird. Selbst Mozilla "vergißt" ab und an was er eigentlich soll und klinkt sich ungefragt bei Mama Netscape ein, setzt Cookies und versucht Scripts auszuführen. DAS finde ich bedenklich. Mit internetten Grüßen Ralf -- http://www.barrierefreies-webdesign.com Ralf Hertsch, Umenhofstr. 32, D 63743 Aschaffenburg Phone +49 (0)6021 960617 Fax +49 (0)1212 511064392 info@barrierefreies-webdesign.com
Hi, 0n 03/01/03@15:06 Ralf Hertsch told me:
Ekkard Gerlach wrote:
* Maik Holtkamp schrieb:
jau, zum einen genau das. M$ schwätz ab win98 schon nach Redmont, so jedenfalls einhellig der Tenor aus den Listen.
Nein, das war nicht von mir, kaputtes Quoting :(.
Es IST dummes Geschwätz. Windows implementiert einige Dinge z.B. die Zwangsregistrierung, den Messenger oder das automatische Systemupdate, die den Eindruck erwecken, es werden permanent sensible Daten übermittelt, die Microsoft nichts angehen. De facto ist das nicht so und wer sich ein wenig auskennt hat keine Mühe, diese "Neugier" zu beenden. Es wurde nie etwas anderes nachgewiesen, obwohl sich ganze Scharen von Microsoft-Gegnern GERADE darum bemüht haben.
Ich kenne MS nicht so gut, aber was mir unter XP nicht gefallen wuerde ist, dass ich kaum noch merke ob die Hilfe jetzt von lokal, oder aus dem Netzt kommt.
In dem Moment, in dem ich ein "online-update" durchführe werden Daten übermittelt, das ist bei YAST auch nicht anders. Damit muß ich leben oder meine Updates händisch durchführen, das ist bei Windows so aber auch bei Linux.
ACK.
Mir ist da eher das Verhalten einzelner Anwendungen unheimlich, wo ich gelegentlich nicht einschätzen kann, was übermittelt wird. Selbst Mozilla "vergißt" ab und an was er eigentlich soll und klinkt sich ungefragt bei Mama Netscape ein, setzt Cookies und versucht Scripts auszuführen. DAS finde ich bedenklich.
Hatte ich noch nie, ohne das mozilla mich vorher darauf hingewiesen haette es wolle Komponent x,y wegen z runterladen und IMHO ist MS da einen Schritt weiter. Die default Installation ist wohl so, dass Schriftarten, MP-plugins u.ae. ohne grosse Nachfrage oder Ankuendignung installiert werden. Ach ja, nein, ich wuerde die MS Sachen auch nicht sperren. Denn das die da massivst gegen Datenschutzbestimmungen verstossen glaube ich auch nicht. Sie sind zwar boese - aber so plump sind sie auch nicht. ;) *SCNR* Aber wer sein neustes ClosedSource OS als optimale Plattform fuer DRM Systeme ankuendigt, braucht sich IMHO auch nicht zu wundern, wenn die Kunden dem mit ein wenig Skepsis begegnen. -- bye maik
Maik Holtkamp wrote:
0n 03/01/03@15:06 Ralf Hertsch told me:
Ekkard Gerlach wrote:
* Maik Holtkamp schrieb:
jau, zum einen genau das. M$ schwätz ab win98 schon nach Redmont, so jedenfalls einhellig der Tenor aus den Listen.
Nein, das war nicht von mir, kaputtes Quoting :(.
Ooops, Sorry...
Es IST dummes Geschwätz. Windows implementiert einige Dinge z.B. die Zwangsregistrierung, den Messenger oder das automatische Systemupdate, die den Eindruck erwecken, es werden permanent sensible Daten übermittelt, die Microsoft nichts angehen. De facto ist das nicht so und wer sich ein wenig auskennt hat keine Mühe, diese "Neugier" zu beenden. Es wurde nie etwas anderes nachgewiesen, obwohl sich ganze Scharen von Microsoft-Gegnern GERADE darum bemüht haben.
Ich kenne MS nicht so gut, aber was mir unter XP nicht gefallen wuerde ist, dass ich kaum noch merke ob die Hilfe jetzt von lokal, oder aus dem Netzt kommt.
Kann ich verstehen, ist aber auch m.E. ein Vorteil, weil ich immer die aktuellen Informationen aus der Knowledge Base erhalten _kann_ - auch dies läßt sich btw abstellen.
Mir ist da eher das Verhalten einzelner Anwendungen unheimlich, wo ich gelegentlich nicht einschätzen kann, was übermittelt wird. Selbst Mozilla "vergißt" ab und an was er eigentlich soll und klinkt sich ungefragt bei Mama Netscape ein, setzt Cookies und versucht Scripts auszuführen. DAS finde ich bedenklich.
Hatte ich noch nie, ohne das mozilla mich vorher darauf hingewiesen haette es wolle Komponent x,y wegen z runterladen und IMHO ist MS da einen Schritt weiter. Die default Installation ist wohl so, dass Schriftarten, MP-plugins u.ae. ohne grosse Nachfrage oder Ankuendignung installiert werden.
Ja. Das meinte ich aber nicht. Bis einschließlich Mozilla 1.1x ging z.B. folgendes: Vorgabe: Suchen über google.de Vorgabe: Cookies: Nachfrage Vorgabe: JavaScript: disabled - Eingabe in der Adressleiste, z.B.: mozilla netscape linux - Klick auf "Suchen" - Suchergebnis in Google wird angezeigt. soweit alles ok. Später: Über DropDown Liste in der Adressleiste nochmals "mozilla netscape linux" auswählen. - Fehlermeldung: Ungültige URL - Klick auf "Suchen" - Aufruf von Netscape-Search (!) - WARNUNG: Die aufgerufene Seite versucht einen Cookie zu setzen, Akzeptieren? - WARNUNG: Die aufgerufene Seite versucht ein Script auszuführen, abbrechen? Für eine Suchabfrage? DAS finde ich bedenklich. Bei der 1.2x ist das Verhalten abgestellt, bleibt die Frage ob es nicht irgendwo im Untergrund trotzdem läuft und welche Daten da ermittelt werden sollen.
Ach ja, nein, ich wuerde die MS Sachen auch nicht sperren. Denn das die da massivst gegen Datenschutzbestimmungen verstossen glaube ich auch nicht.
Sie sind zwar boese - aber so plump sind sie auch nicht. ;) *SCNR*
ACK Mit internetten Grüßen Ralf -- http://www.barrierefreies-webdesign.com Ralf Hertsch, Umenhofstr. 32, D 63743 Aschaffenburg Phone +49 (0)6021 960617 Fax +49 (0)1212 511064392 info@barrierefreies-webdesign.com
Hi, 0n 03/01/03@17:01 Ralf Hertsch told me:
Für eine Suchabfrage? DAS finde ich bedenklich. Bei der 1.2x ist das Verhalten abgestellt, bleibt die Frage ob es nicht irgendwo im Untergrund trotzdem läuft und welche Daten da ermittelt werden sollen.
Ja, verstehe ich. Ich benutzte hier immer noch 1.0.0, weil das hier in stable so drin ist, funktioniert und eh' ein proxy dazwischen sitzt. Never, touch... Einen, fuer mich wesentlichen, Unterschied uebersiehst Du aber, wenn Du die Frage nach dem Untergrund stellst und Bedenken hast: Use the source, Luke ;). ... und das wird bei dem Internet Explorer und anderen MS tools schon schwieriger. Sicher kann man sich nie sein. Auch das Mozilla Team koennte eine "verschworene Gemeinschaft zum Anstreben der Weltherschaft sein", aber da sie den source veroeffentlichen ist die Moeglichkeit "Schweinereien" einzubauen deutlich geringer und einer Gruppe freier Entwickler, vertraue ich auch mehr (vielleicht sehr subjektiv) als abhaengig Beschaeftigten, derren primaere Ziel evtl. fremdbestimmt sind. -- bye maik
Maik Holtkamp wrote:
0n 03/01/03@17:01 Ralf Hertsch told me:
Für eine Suchabfrage? DAS finde ich bedenklich. Bei der 1.2x ist das Verhalten abgestellt, bleibt die Frage ob es nicht irgendwo im Untergrund trotzdem läuft und welche Daten da ermittelt werden sollen.
Ja, verstehe ich. Ich benutzte hier immer noch 1.0.0, weil das hier in stable so drin ist, funktioniert und eh' ein proxy dazwischen sitzt. Never, touch...
Einen, fuer mich wesentlichen, Unterschied uebersiehst Du aber, wenn Du die Frage nach dem Untergrund stellst und Bedenken hast:
Use the source, Luke ;).
ACK. Das ist für mich ja auch ein Grund nach Linux einzuschwenken. Bin halt ein Oldie, '78 den ersten ZX zusammengelötet und glaube seit '83 oder '84 online - aber nie Linux, erst MS-DOS (auf einem Apple PC, das gab's auch mal) und seit Windows 3.0 nur noch Win... Das Umdenken und umlernen fällt mir schwer, habe so viel vergessen und denke falsch... Wird aber wieder, bin ich überzeugt davon, es "fühlt sich gut an".
... und das wird bei dem Internet Explorer und anderen MS tools schon schwieriger. Sicher kann man sich nie sein. Auch das Mozilla Team koennte eine "verschworene Gemeinschaft zum Anstreben der Weltherschaft sein", aber da sie den source veroeffentlichen ist die Moeglichkeit "Schweinereien" einzubauen deutlich geringer und einer Gruppe freier Entwickler, vertraue ich auch mehr (vielleicht sehr subjektiv) als abhaengig Beschaeftigten, derren primaere Ziel evtl. fremdbestimmt sind.
Da gebe ich dir uneingeschränkt recht. Gründe s.o. Ich habe zwar die Programmierung schon mehrere Jahre aufgegeben, leiste aber meinen "GPL" Teil schon viele Jahre auf sozialer Basis und stehe voll hinter dem Gedanken. Mit internetten Grüßen Ralf -- http://www.barrierefreies-webdesign.com Ralf Hertsch, Umenhofstr. 32, D 63743 Aschaffenburg Phone +49 (0)6021 960617 Fax +49 (0)1212 511064392 info@barrierefreies-webdesign.com
Ekkard Gerlach wrote:
einige M$-PC's (Win98) sollen via einem Linux-PC vor M$-Zugriffen geschützt werden. Welche IP's sollten da gesperrt werden ?
warum will man das?
Habe schon das (sorry, veraltete ipchains, aber iptables will unter 7.2 bei mir halt nicht)
es ist nicht das 7.2 sondern dein kernel der nur ipchains unterstützt. und es gibt keinen grund sich dafür zu entschuldigen das man noch ipchains nutzt.
/sbin/ipchains -A output -d 212.184.80.190 www -p tcp -y -j REJECT /sbin/ipchains -A output -d 207.46.249.27 www -p tcp -y -j REJECT /sbin/ipchains -A output -d 207.46.196.115 www -p tcp -y -j REJECT /sbin/ipchains -A output -d 207.68.172.246 www -p tcp -y -j REJECT /sbin/ipchains -A output -d www.microsoft.com www -p tcp -y -j REJECT /sbin/ipchains -A output -d www.microsoft.de www -p tcp -y -j REJECT /sbin/ipchains -A output -d home.microsoft.com www -p tcp -y -j REJECT
es ist zwar grundsätzlich möglich auch mit FQDN zu arbeiten, sollte aber beim start deines ipchains-scriptes dein DNS mal nicht erreichbar sein, kann es im ungünstigsten fall dazu führen das dein script nicht bis zum ende abgearbeitet wird. mir ist deine frage nicht ganz klar. oben schreibst du: 'vor M$-Zugriffen schützen'. nun verhinderst du aber den zugriff für _alle_ in deinem netz _auf_ oben genannte. oder meinst du mit 'vor', das z.b. 'http://www.microsoft.de' in deinem netz nicht mehr aufrufbar sein soll? wenn ja, nochmal die frage: warum will man das? micha
* Michael Meyer schrieb:
/sbin/ipchains -A output -d 212.184.80.190 www -p tcp -y -j REJECT /sbin/ipchains -A output -d 207.46.249.27 www -p tcp -y -j REJECT /sbin/ipchains -A output -d 207.46.196.115 www -p tcp -y -j REJECT /sbin/ipchains -A output -d 207.68.172.246 www -p tcp -y -j REJECT /sbin/ipchains -A output -d www.microsoft.com www -p tcp -y -j REJECT /sbin/ipchains -A output -d www.microsoft.de www -p tcp -y -j REJECT /sbin/ipchains -A output -d home.microsoft.com www -p tcp -y -j REJECT
es ist zwar grundsätzlich möglich auch mit FQDN zu arbeiten, sollte aber beim start deines ipchains-scriptes dein DNS mal nicht erreichbar sein, kann es im ungünstigsten fall dazu führen das dein script nicht bis zum ende abgearbeitet wird.
Skript wird nach ip-up gestartet. Wenn DNS nicht erreichbar , dann kann der Browser auch nicht nach Redmont "schwätzen". Gibt's eine Möglichkeit der Fehlerbehandlung falls DNS mal nicht erreichbar ist? Vielleicht mit if ping 212.184.80.190 then /sbin/ipchains -A output -d 212.184.80.190 ... fi if ping 207.46.249.27 then /sbin/ipchains -A output -d 207.46.249.27 ... fi ... ? Ekkard
Hi, 0n 03/01/02@23:15 Ekkard Gerlach told me:
* Michael Meyer schrieb:
/sbin/ipchains -A output -d 212.184.80.190 www -p tcp -y -j REJECT /sbin/ipchains -A output -d 207.46.249.27 www -p tcp -y -j REJECT /sbin/ipchains -A output -d 207.46.196.115 www -p tcp -y -j REJECT /sbin/ipchains -A output -d 207.68.172.246 www -p tcp -y -j REJECT /sbin/ipchains -A output -d www.microsoft.com www -p tcp -y -j REJECT /sbin/ipchains -A output -d www.microsoft.de www -p tcp -y -j REJECT /sbin/ipchains -A output -d home.microsoft.com www -p tcp -y -j REJECT
es ist zwar grundsätzlich möglich auch mit FQDN zu arbeiten, sollte aber beim start deines ipchains-scriptes dein DNS mal nicht erreichbar sein, kann es im ungünstigsten fall dazu führen das dein script nicht bis zum ende abgearbeitet wird.
Skript wird nach ip-up gestartet. Wenn DNS nicht erreichbar , dann kann der Browser auch nicht nach Redmont "schwätzen".
Gibt's eine Möglichkeit der Fehlerbehandlung falls DNS mal nicht erreichbar ist? Vielleicht mit if ping 212.184.80.190 then /sbin/ipchains -A output -d 212.184.80.190 ... fi if ping 207.46.249.27 then /sbin/ipchains -A output -d 207.46.249.27 ... fi
Wieso willst Du das per filter regeln? IMHO muesste man das routing umbiegen (fuer die MS Sachen auf lo routen) oder einen lokalen DNS zum Master ueber die Zonen machen. -- bye maik
Hallo Maik, * Maik Holtkamp schrieb:
Gibt's eine Möglichkeit der Fehlerbehandlung falls DNS mal nicht erreichbar ist? Vielleicht mit if ping 212.184.80.190 then /sbin/ipchains -A output -d 212.184.80.190 ... fi if ping 207.46.249.27 then /sbin/ipchains -A output -d 207.46.249.27 ... fi
Wieso willst Du das per filter regeln?
IMHO muesste man das routing umbiegen (fuer die MS Sachen auf lo routen) oder einen lokalen DNS zum Master ueber die Zonen machen.
ähmm ... ich bin in dieser Frage noch Anfänger ... und muß mich erst einlesen. Danke mal .. Ekkard
participants (6)
-
Ekkard Gerlach
-
Maik Holtkamp
-
Michael Meyer
-
Ralf Hertsch
-
Sebastian Helms
-
Steffen Moser