Router-ports zeitabhängig schließen
Georg Sandkühler
sk at sk-umwelt.de
Tue Dec 7 19:34:35 CET 2004
Am Dienstag, 7. Dezember 2004 17:55 schrieb Jan 'Red Bully' Seiffert:
> Daaaach!
>
[...]
> > Antwort a: Ja, fli4l hat nen crond-Paket, das ich nur nachinstallieren
> > muss.
>
> Wenn du bereit bist das auf deinem fli4l nachzuinstalieren, gut, aber du
> weisst ja: never change a running system ;)
Stimmt, aber das ist bei fli4l zum Glück sehr problemos: 1. ganze Diskette
kopieren auf neue Diskette, alte gut weglegen, das ist schließlich das
lauffähige System.
An neuer rumbasteln; wenn geht: gut; wenn nicht geht: alte Diskette rein :-=)
> > Antwort b: einen Server habe ich auch, der läuft durch.
>
> Oder so, dann muss dein fli4l ssh haben und du musst pubkeys ohne
> passwort (nein, bitte nicht steinigen) aufsetzen, so das du durch ein
> "shh router" ohne eingabe eines Passwortes von dem Fileserver auf den
> Router kommst (der nicht geschuetzte public key wird dann ja mit
> -rw------- unter einem Passwortgeschutzen account auf dem Fileserver
> abgelegt).
Ich glaube, ich bastle lieber an der Diskette als an meinem Server...
[...]
> Naja, Fachwissen Null reicht ja auch erstmal }:>. So kann sie was lernen...
Stimmt allerdings; aber wenn sies dann kann, dann darf sies auch, zur
belohnung für's lernen. :-)
[...]
> > und das kommt dann in die Skripte "loesche_icq_block.sh" bzw.
> > "setze_icq_block.sh", oder?
>
> Ja genau, nur wie der konkrete aufruf dann fuer dein fli4l (siehe unten)
> aussieht, ist dann die Frage. Auch ob es lokal auf dem fli4l ist (dann
> waere es tatsaechlich der einziege Inhalt in den Scripten), oder ob du
> noch den Umweg ueber ssh gehen willst/musst (dann musst du den Befehl
> irgendwie ueber ssh absetzen). Achja, wenns nicht will, wie immer: $PATH
> kontrollieren, in Cron-jobs ist der meist nicht/unvolstaendig gesetzt.
> zur Not halt "/pfad/zu/programm" immer davor setzen (z.B. /sbin/iptables).
>
> >>nur bei den Regeln, da bin ich mir garnich sicher, weiss ja auch nich
> >>was fli4l da zu bieten hat, basiert doch noch auf Kernel 2.2? Nun, man
> >>hilft...
> >
> > Ja, fli4l berucht auf Kernel 2.2.19
>
> Hmmm, das hab ich befuerchtet. Nungut, im laufe der Kernel-versionen (an
> der 2.ten stelle) hat sich das "firewall-modul", und seine
> Arbeitsweise/Parameter, mehrfach geaendert. Ich glaube 2.2 (Frag einen
> der anderen Experten, ich kenn nur "iptables") hat "ipchains",
> dementprechend wirst du die ipchains-Syntax zum definieren einer Regel
> benutzen muessen, das entsprechende Programm zum einfuettern in den
> Kernel, achja, auf dem fli4l muss das auch angeschaltet/installiert
> sein, und es kann sein das sich deine Filtermoeglichkeiten (also auf
> welche Packet-eigenschaften du Filtern kannst) unterscheiden.
> (Tschuldigung das ich dir da nichts konkreteres sagen kann, ich habe
> hier nur 2.6er, und in meinem Router habe ich im Kernel "Advanced
> Router" angemacht, da wird dann Furz und Feuerstein angemacht)
>
> >>Oehm, achja, UDP vielleicht auch noch ausknippsen, sicher ist sicher.
> >
> > Hmm, jetzt muss ich wohl doch anfangen, mich tiefer in die Sache
> > einzuarbeiten; UDP ausknipsen=????
>
> ausknipsen = unterdruecken:filtern:wegmachen:totlegen:/dev/null-routen
>
> Na halt auch Zeitgesteuert durchlassen oder ablehnen, waere dann eben
> *fast* die gleiche regel wie oben fuer TCP, nur noch mal fuer UDP, falls
> das Programm (ICQ) auch eine Kontaktaufnahme ueber UDP vorsieht, eben
>
> sicher ist sicher. Beispiel:
> > iptables -t nat -D PREROUTING -i <eth-intern> -p udp -m udp --source
> > <IP-deiner-Tochter> --dport 5190 -j REJECT --reject-with
> > icmp-admin-prohibited
Ah jetzt ja...
> Merke: du kannst UDP-Packete nur mit icmp-packeten als Antwort ablehnen.
>
> Ach! was sehe ich da grad in der man-page von iptables:
>
> Using icmp-admin-prohibited with kernels that do not support it will
> result in a plain DROP instead of REJECT.
>
> Ah, toll der Kernel muss das koennen, sonst bekommst du nur nen
> "Timeout", statt eines "Verbindung abgelehnt".
>
> also dann eher "--reject-with icmp-port-unreachable"
>
> > Geniale Idee eigentlich, aber in diesem Fall nicht notwendig; unsere
> > Tochter weiß, dass ich dabei bin, ihre Chat-Zeiten zu beschneiden. Gibt
> > zwar Gemaule, aber nur halbherzig...
>
> Warte bis sie sich da Reinfuchst, dann Administriert sie dich an die
> Wand... Oder es Interressiert sie nicht die Hupe, auch gut, wird sie
> wenigstens kein Nerd.
An die Wand administrieren darf sie mich ruhig; dann muss sie allerdings noch
das Passwort für den Router haben (und den Schlüssel zum Keller, wenn der
nachts stromlos geht)
> Hoffe, ich konnte dir wieder helfen.
Klar, danke!
> Gruss
> Jan
>
> --
> [Primzahlenreihen]
> Geht auch, jedenfalls falls man Physiker ist (These: Jede ungerade
> Zahl > 1 ist eine primzahl. Beweis: 3 ist prim, 5 ist prim, 7 ist prim,
> 9 ist messfehler, 11 ist prim, 13 ist prim, sollte reichen... ;)
--
Mit freundlichen Grüßen aus Bad Pyrmont
Ihr Energiekostensenker
Ingenieurbüro SK Umwelt
Dipl.-Ing. Georg Sandkühler
Wacholderweg 16
31812 Bad Pyrmont
T 05281 960 630
F 05281 960 631
M 0171 800 1608
E sk at sk-umwelt.de
U www.sk-umwelt.de
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: signature
URL: <http://lug-owl.de/pipermail/linux/attachments/20041207/47e2a009/attachment.sig>
More information about the Linux
mailing list