Oliver Leue schrieb:
Das Problem ist (wie die Anderen schon geschrieben haben) festzustellen was erlaubter Trafik ist, praktisch ueber Rechnergrenzen nicht moeglich.
Mit der Firewall (iptables) eigentlich schon.
Nein.
Auf der Firewall alles verbieten und Port 80 öffnen. Wenn das nicht reicht, z. B. wegen SSL, dann auch Port 442 öffnen, usw. Am besten ist es dann, das was durchgeht zu einem Proxy zu leiten und diesen restriktiv einzustellen.
Wenn die Firewall auf oder direkt vor dem ISDN-Server installiert ist, kannst du DoD aktiv lassen. Wenn alles richtig gemacht ist können nur noch Anfragen auf Port 80 (...) durchgehen. Der DNS muß natürlich hierfür auch berücksichtigt werden.
Selbst wenn man der Ansicht ist das Port 80 tatsächlich alles sein sollte was ein Browser darf (sollte es im Internet tatsächlich noch mehr als http auf Port 80 geben?), so hilft das eben nichts gegen Nameserveranfragen. Ganz abgesehen davon das ja jedes Programm mit Ziel Port 80 arbeiten kann. Und damit kann wieder jedes beliebige Programm auf dem Server oder Client die Einwahl auslösen. Da kann man auch nichts dagegen tun, ist ein prinzipielles Problem.