Router-ports zeitabhängig schließen
Georg Sandkühler
sk at sk-umwelt.de
Sun Dec 5 19:43:20 CET 2004
Am Donnerstag, 2. Dezember 2004 07:55 schrieb Jan-Benedict Glaw:
> On Thu, 2004-12-02 00:17:11 +0100, Jan 'Red Bully' Seiffert
> <redbully at cc.fh-luh.de>
>
> wrote in message <41AE50F7.8020406 at cc.fh-luh.de>:
> > und dann mit iptables sowas wie:
> > > iptables -t nat -A PREROUTING -i <eth-intern> -p tcp -m tcp --source
> > > <IP-deiner-Tochter> --dport 5190 -j REJECT --reject-with tcp-reset
> >
> > und zum loeschen:
> > > iptables -t nat -D PREROUTING -i <eth-intern> -p tcp -m tcp --source
> > > <IP-deiner-Tochter> --dport 5190 -j REJECT --reject-with tcp-reset
>
> Dazu noch eine Anmerkung. Wenn man Connections ablehnt, sollte man sich
> verdammt gut überlegen, womit man sie ablehnt.
>
> tcp-reset sieht beim Client so aus, als ob der angefragte Dienst
> Server-seitig nicht mehr existiert; wenn Deine Tochter älter wäre,
> könnte sie beim Hersteller anrufen und nachfragen, ob deren
> Server-Software abgestürzt wäre...
Tut sie garantiert nicht, kostet schließlich einen Teil des kostbaren
Telefon-Budgets...
> Dann gibt's noch die Variante, einfach alle Pakete stumpf wegzuwerfen
> (mit unauffälligem Pfeifen und Umgucken--war was?). Dann funktioniert's
> nicht, langer timeout, dann die Meldung "Timed out...". Auch nicht nett,
> allgemeiner Fehler, vielleicht der Rechner abgestützt, auf dem die
> Server-Software laufen sollte? Oder Router kaputt?
Stimmt, kommt nicht so gut.
> Wenn man sich so über mehrere Rechner verteilt Firewall-Regeln anlegt,
> bekommt man (als Admin) selbst mit 'nem tcpdump da nur Müll angezeigt,
> weil eigentlich doch alles so gut aussieht.
> ...und dann gibt's da noch den ICMP "Admin prohibited filter"
> (--reject-with admin-prohibited). In dieser Konstellation wissen dann
> wenigstens alle (ICQ-Programm und Du, wenn Du mit tcpdump guckst:-), daß
> da 'ne Firewall am Werke war. Ich find' das ganz angenehm, dann weiß man
> wenigstens, daß das so gewollt ist.
Das sieht gut aus. Kann man eigentlich den Text hinter --reject-with frei
auswählen? Dann käme bei mir da hin: --reject-with von Papa gesperrt :-))
> MfG, JBG
--
Mit freundlichen Grüßen aus Bad Pyrmont
Ihr Energiekostensenker
Ingenieurbüro SK Umwelt
Dipl.-Ing. Georg Sandkühler
Wacholderweg 16
31812 Bad Pyrmont
T 05281 960 630
F 05281 960 631
M 0171 800 1608
E sk at sk-umwelt.de
U www.sk-umwelt.de
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: signature
URL: <http://lug-owl.de/pipermail/linux/attachments/20041205/be0656ac/attachment.sig>
More information about the Linux
mailing list