Hallo,
Michael Helms
Dieter Kluenter schrieb:
Als ganz schnell Paketfilter aktivieren, damit diese Verbindungsversuche zurückgewiesen werden.
Du meinst SuSEfirewall2 ?? Oder wie aktiviert man Paketfilter ??
Paketfilter sind Kernelmodule, es gibt zwei, ipchains und iptables (früher ipfilter genannt). SuSEfirewall ist auch nur ein Script, das iptables mit entsprechenden Filterregeln aktiviert.
Ich guck mal ob ich das jetzt alles richtig verstanden habe.
Es kommen Anfragen (z.B. port 4662) an unseren Rechner. Aufgrund der Einstellungen in /etc/ppp/options werden die eintreffenden Pakete vom pppd nicht beachtet. Aber unser Rechner antwortet. Die Antwort wird beachtet. Folge: die Idle-Time wird nicht erreicht.
pppd ist nur ein Daemon, der vom System aufgerufen wird, um eine point to point Verbindung zu einer vorgebenen Adresse herzustellen und dabei dann noch Authentifizierungsdaten prüft und überträgt, TCP/IP Datenpakete können von pppd nicht analysiert werden. Wenn also ein lokaler Prozess versucht, ein Datenpaket an eine fremde Adresse zu senden, wird pppd aktiv und stellt die Initialverbindung zum Einwahlserver her und hält diese Verbindung offen solange vom lokalen System Daten nach außen gesandt werden. Du hast richtig erkannt, daß die Idle Time nicht erreicht wird, solange Datenpakete nach außen fließen.
Es ist also wichtig bereits die Anfragen abzufangen (womit die Einträge in /etc/ppp/options überflüssig werden, so das Abfangen vor dem pppd geschieht); mit einem Paketfilter.
So ungefähr, wobei Paketfilter drei Möglichkeiten haben, 1. das Datenpaket zu akzeptieren und an den zuständigen Prozess weiterzuleiten, 2. das Datenpaket nicht zu akzeptieren und dem Absender diese mitzuteilen, 3. das Datenpaket nicht zu akzeptieren und keine weitere Aktion zu veranlassen.
In der Annahme das mit Packetfilter SuSEfirewall2 gemeint ist, habe ich die mit YaST2 konfiguriert (nach bestem Wissen und Gewissen). Dann hab ich noch in /etc/sysconfig/SuSEfirewall2 die Services für squid und samba freigegeben (FW_SERVICE_SQUID="yes", FW_SERVICE_SAMBA="yes", FW_SERVICES_EXT/DMZ/INT_TCP="139 3128").
Ich muß gestehen daß ich SuSEfirewall2 nicht eingehend kenne und daher auch nicht weiß, was diese Regeln bewirken sollen, also ob ein Reject, drop oder accept.
Nach letzterem habe ich die FW mit "SuSEFirewal2 stop/start" neu gestartet. Auf den ersten Blick ist es etwas ruhiger geworden, aber auflegen ist immer noch nicht. Ein Blick in ethereal enthüllt eine menge DNS Anfragen die von uns ausgehen.
Ja, daher wird die Idle Time nicht erreicht. Das sind möglicherweise WINS Anfragen auf Port 135-137 der Windows Clients, prüfe das mal.
Info: Standard query PTR ppp0.wvigmbh.de. Schätze das passt zur Firewall-Start-Meldung: iptables: No chain/target/match by that name iptables v1.2.7a: host/network 'ppp0' not found
Dazu kann ich wenig sagen, da ich nicht weiß, wie das Device in das Firewallscript eingebunden wird.
Was mach ich falsch???
Schwer zu sagen, vermutlich hast du nur die Filterregeln nicht verstanden.
Desweiteren: Wird bei laufender FW die Verbindung getrennt stirbt auch meine VNC-Sitzung. Dazu hab ich rausgefunden, das im ip-up 2 Einträge der Form: start_firewall sind. Einer in der ip-up)[war auskommentiert] und einer in der ip-down) Sektion. Wieso Start in der ip-down) Sektion? Wieso sind hier überhaupt Einträge? Reicht es nicht die FW beim booten zu starten un dann ist gut?
Ich vermute, daß SuSE das Firewallscript zweigeteilt hat, um die bei der Einwahl dynamisch zugewiesenen Adresse einzubinden und dann bei Beendigung diese Adresse wieder zu löschen.
Sorry wenn ich hier dummes Zeug fasele oder dumme Fragen stelle, aber mit Firewall hab ich mich bis jetzt noch nicht beschäftigt. Bin immer davon ausgegangen das mich eine dynamich von der Telekom vergebene IP davor bewart eine FW aufsetzen zu müssen, und bei unserm alten ISDN Zugang war es auch so (wohl weil kaum jemand mit ISDN noch edonky und ähnliches benutzt).
Das ist kein dummes Zeug, aber mit Netzwerksicherheit solltest du dich beschäftigen. Eine dynamisch zugewiesene Adresse bewahrt nicht vor einem Einbruchsversuch. Wenn du dich eingehender mit iptables beschäftigen möchtest, frage mal David Haller, er hat vor ca. 2 Jahren mal modulariserte Scripts geschrieben und veröffentlicht. Das Mailarchiv ist mit Sicherheit voll von iptables Regeln, da mußt du nur mal suchen. Wenn du dann die Funktion von Paketfiltern und Regeln verstanden hast, kannst du auch SuSEfirewall für dein System richtig konfigurieren. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de