Hallo, * Am 26.03.2002 zauberte Andreas Koenecke:
* Dienstag, 26. März 2002 um 12:03 (+0100) schrieb Dietmar Strasdat:
am 26.03.02, um 11:30 h, schrieb Alex Klein:
Schon mal alles dicht gemacht?
# ipchains -F input # ipchains -P input DENY # ipchains -A input -p tcp --dport 4661 -j DENY
Die letzte Zeile kannst Du Dir auch sparen ;)
Legt er dann auf?
DENY ist eingestellt, er legt definitiv nicht auf. Es kamen z.B teilweise über 3 Stunden Anfragen auf Port 4661 die mit DENY abgeblockt wurden.
Du wirst mit einem Paketfilter das Halten der Verbindung durch Pakete von aussen nicht verhindern können, da die INPUT-Chain des Paketfilters "hinter" dem ppp-Device liegt und somit die Pakete den Idle-Timer des pppd schon zurückgesetzt haben, _bevor_ sie der Paketfilter verwirft. (Und schon gar nicht mit "-j DENY", da "merkt" der sendende Host ja nicht mal, dass kein Partner mehr vorhanden ist. Evtl. gibt der sendende Host ja nach einem "-j REJECT" die Verbindungsversuche auf, was ich aber auch nicht glaube...)
Gut. Wieder was gelernt. Wobei der sendende Host bei DENY doch gar nichts zurückbekommt. Also keine Gegenstelle bemerkt, womit kein Partner vorhanden ist. Bei REJECT bekommt er halt mit, daß er nicht willkommen ist. Aber ist das nicht doof gemacht, wenn DOD die idle-time vor der Firewall prüft, wenn man das genauso hinter der firewall machen könnte? Na, da wird hier keiner was dran ausrichten. Es macht je keinen Sinn eine Verbindung wegen einer nichtzustandekommenden Verbindung zu erhalten. Wenn die Pakete "DENY"t werden, dann wird das ja auch nie was werden.
Auf deiner Seite hast du AFAIK nur 2 Möglichkeiten:
1. Die "active-filter"-Option des pppd. (Ich weiß allerdings nicht, ob das mit einem Kernel-2.2.X funktioniert.)
2. DOD mit dem 'diald'.
Oder mit einem Skript im Crontab die durchgelassenen Pakete auswerten und dann entscheiden, ob Datenverkehr war oder nicht. Ggf. einhängen. -- Gruß Alex -- Ich habe fast die Befürchtung, daß wir zu anspruchsvoll sind. [Dieter Bohlen über "Modern Talking"]