Router-ports zeitabhängig schließen

Jan-Benedict Glaw jbglaw at lug-owl.de
Thu Dec 2 07:55:04 CET 2004 

On Thu, 2004-12-02 00:17:11 +0100, Jan 'Red Bully' Seiffert <redbully at cc.fh-luh.de>
wrote in message <41AE50F7.8020406 at cc.fh-luh.de>:
> und dann mit iptables sowas wie:
> > iptables -t nat -A PREROUTING -i <eth-intern> -p tcp -m tcp --source <IP-deiner-Tochter> --dport 5190 -j REJECT --reject-with tcp-reset
> und zum loeschen:
> > iptables -t nat -D PREROUTING -i <eth-intern> -p tcp -m tcp --source <IP-deiner-Tochter> --dport 5190 -j REJECT --reject-with tcp-reset

Dazu noch eine Anmerkung. Wenn man Connections ablehnt, sollte man sich
verdammt gut überlegen, womit man sie ablehnt.

tcp-reset sieht beim Client so aus, als ob der angefragte Dienst
Server-seitig nicht mehr existiert; wenn Deine Tochter älter wäre,
könnte sie beim Hersteller anrufen und nachfragen, ob deren
Server-Software abgestürzt wäre...

Dann gibt's noch die Variante, einfach alle Pakete stumpf wegzuwerfen
(mit unauffälligem Pfeifen und Umgucken--war was?). Dann funktioniert's
nicht, langer timeout, dann die Meldung "Timed out...". Auch nicht nett,
allgemeiner Fehler, vielleicht der Rechner abgestützt, auf dem die
Server-Software laufen sollte? Oder Router kaputt?

Wenn man sich so über mehrere Rechner verteilt Firewall-Regeln anlegt,
bekommt man (als Admin) selbst mit 'nem tcpdump da nur Müll angezeigt,
weil eigentlich doch alles so gut aussieht.

...und dann gibt's da noch den ICMP "Admin prohibited filter"
(--reject-with admin-prohibited). In dieser Konstellation wissen dann
wenigstens alle (ICQ-Programm und Du, wenn Du mit tcpdump guckst:-), daß
da 'ne Firewall am Werke war. Ich find' das ganz angenehm, dann weiß man
wenigstens, daß das so gewollt ist.

MfG, JBG

-- 
Jan-Benedict Glaw       jbglaw at lug-owl.de    . +49-172-7608481             _ O _
"Eine Freie Meinung in  einem Freien Kopf    | Gegen Zensur | Gegen Krieg  _ _ O
 fuer einen Freien Staat voll Freier Bürger" | im Internet! |   im Irak!   O O O
ret = do_actions((curr | FREE_SPEECH) & ~(NEW_COPYRIGHT_LAW | DRM | TCPA));
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 189 bytes
Desc: Digital signature
URL: <http://lug-owl.de/pipermail/linux/attachments/20041202/d1220d2b/attachment.sig>

More information about the Linux mailing list