Hallo, wahrscheinlich versteh ich das ganze nicht ich habe bisher folgende Firewall-Konfiguration, die auch einen transparenten Proxy enthält, dies funktioniert meiner Meinung nach. Nun habe ich noch die von dir empfohlen Modifikation durchgeführt. Dadurch sieht meine SuSEfirewall2 im Moment so aus FW_QUICKMODE="no" FW_DEV_EXT="ippp0" FW_DEV_INT="eth0" FW_DEV_DMZ="" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="192.168.99.0/24" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_SERVICES="yes" FW_SERVICES_EXT_TCP="ftp ssh smtp domain http pop3 ident nnsp" FW_SERVICES_EXT_UDP="" FW_SERVICES_EXT_IP="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP="" FW_SERVICES_INT_TCP="1:25 53 80 110 443 1080 3128 8080" FW_SERVICES_INT_UDP="$FW_SERVICES_INT_TCP" FW_SERVICES_INT_IP="" FW_SERVICES_QUICK_TCP="" FW_SERVICES_QUICK_UDP="" FW_SERVICES_QUICK_IP="" FW_TRUSTED_NETS="192.168.99.0/24" FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" FW_SERVICE_AUTODETECT="yes" FW_SERVICE_DNS="no" FW_SERVICE_DHCLIENT="yes" FW_SERVICE_DHCPD="yes" FW_SERVICE_SQUID="yes" FW_SERVICE_SAMBA="no" FW_FORWARD="" FW_FORWARD_MASQ="" FW_REDIRECT="192.168.99.0/24,0/0,tcp,80,3128" FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW" FW_KERNEL_SECURITY="yes" FW_STOP_KEEP_ROUTING_STATE="yes" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_PING_EXT="no" FW_ALLOW_FW_TRACEROUTE="yes" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_ALLOW_FW_BROADCAST="no" FW_IGNORE_FW_BROADCAST="yes" FW_ALLOW_CLASS_ROUTING="no" FW_CUSTOMRULES="" FW_REJECT="yes" FW_HTB_TUNE_DEV="" Leider funktioniert aber durch die von dir angeregte Modifikation das Sperren von edonkey und Konsorten nicht, sollte ich FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" auf die beiden Variablen auf Nein setzen, oder welche Modifikation muss ich vornehmen. Thüss Werner Am Freitag, 9. Mai 2003 20:49 schrieb M. Kölbl:
Hi,
ich würde sagen zunächst einmal die Ports 4661 bis 4666 sperren. Bei SuSEfirewall2 müsstest du die Firewall so einstellen dass nur noch die Ports genutzt werden können, die ausdrücklich freigegeben sind (um die P2P-Proggis wirklich zu unterdrücken).
Ich würde es so machen (sofern du schon ein Grundgerüst der Firewall hast): # Nur Services zulassen, die du freigibst FW_AUTOPROTECT_SERVICES="yes" # Common: ssh smtp domain FW_SERVICES_INT_TCP="1:25 53 80 110 443 1080 8080" # Common: domain syslog FW_SERVICES_INT_UDP="$FW_SERVICES_INT_TCP" # For VPN/Routing which END at the firewall!! FW_SERVICES_INT_IP=""
Dadurch werden nur noch die Ports 1 bis 25 sowie 53 (DNS), 80 (HTTP), 110 (POP3), 443 (SSL), 1080 (SOCKS) und 8080 (alternative HTTP) freigegeben
Mfg, M. Kölbl
On Friday, 09. May 2003 19:13, Werner Groß wrote:
Hallo,
ich habe mir einen Rechner als Router eingerichtet, meine Söhne können sich nun über diesen Rechner ins Internet einwählen, da ich keine Flat-Rate habe, stelle ich nun nach 14 Tagen fest das ich wahrscheinlich wenn ich nichts unternehme die Telekom reich und ich arm werde.
Die Hauptkostenverursacher sind meiner Meinung nach edonkey und Konsorten, gibt es über z.B. über die SuSeFirewall die Möglichkeit, diese P2P und die dazugehörigen Ports?? zu sperren. Mir gehts hier wirklich primär nur darum keine Programme dieser Art mehr durchkommen zu lassen, damit nich nicht das ganze Internet für meine Söhne wieder abschalten muss.
Thüss Werner
-- Homepage http://www.info-dialyse.de Mail: mailto://W.F.Gross@t-online.de