Router-ports zeitabhängig schließen

[Jan 'Red Bully' Seiffert]

Daaaach!

Georg Sandkühler schrieb:
> Am Donnerstag, 2. Dezember 2004 00:17 schrieb Jan 'Red Bully' Seiffert:
> 
>>Nabend,
>>
>>Georg Sandkühler schrieb:
>>
>>>Ich habe hier einen alten 486er mit einem Disketten-fli4l-Router laufen
>>>und stelle mir vor, dass ich dort einzelne Ports abhängig von der
>>>internen Uhr freigebe oder eben nicht. Geht sowas?
>>
>>Radio Eriwan: Im Prinzip ja, aber....
>>Ich kenn mich jetzt nicht so mit fli4l aus... hast du iptables (oder
>>vergleichbar)? Hast du Cron??? Cron ist hier der Knackpunkt!
>>Oder moment, ein anderer Rechner der durchlaeuft (File-/Druckserver?)
>>mit Cron knipst die regeln ueber SSH an und aus (public-key-auth).
> 
> 
> Antwort a: Ja, fli4l hat nen crond-Paket, das ich nur nachinstallieren muss.

Wenn du bereit bist das auf deinem fli4l nachzuinstalieren, gut, aber du
weisst ja: never change a running system ;)

> Antwort b: einen Server habe ich auch, der läuft durch.
> 
Oder so, dann muss dein fli4l ssh haben und du musst pubkeys ohne
passwort (nein, bitte nicht steinigen) aufsetzen, so das du durch ein
"shh router" ohne eingabe eines Passwortes von dem Fileserver auf den
Router kommst (der nicht geschuetzte public key wird dann ja mit
-rw------- unter einem Passwortgeschutzen account auf dem Fileserver
abgelegt).

> 
>>Dann wirds einfach:
>>Mittags Filterregel fuer /etc/services:aim (5190?) loeschen, abends
>>wieder hinzufuegen.
>>Vorausgesetzt, deine Tochter hat noch nicht genug "kriminelle" Energie,
>>es ueber Proxy zu versuchen oder ungewoehnliche Ports zu benutzen
>>(Windows? orginal ICQ-Soft? Tippe da kann man das eh nicht umstellen).
> 
> 
> Windows, original ICQ-Software, kriminelle Energie relativ niedrig, Fachwissen 
> Null...
> 
Naja, Fachwissen Null reicht ja auch erstmal }:>. So kann sie was lernen...


>>und dann mit iptables sowas wie:
>>
>>>iptables -t nat -A PREROUTING -i <eth-intern> -p tcp -m tcp --source
>>><IP-deiner-Tochter> --dport 5190 -j REJECT --reject-with tcp-reset
>>
>>und zum loeschen:
>>
>>>iptables -t nat -D PREROUTING -i <eth-intern> -p tcp -m tcp --source
>>><IP-deiner-Tochter> --dport 5190 -j REJECT --reject-with tcp-reset
> 
> 
> und das kommt dann in die Skripte "loesche_icq_block.sh" bzw. 
> "setze_icq_block.sh", oder?
> 
Ja genau, nur wie der konkrete aufruf dann fuer dein fli4l (siehe unten)
aussieht, ist dann die Frage. Auch ob es lokal auf dem fli4l ist (dann
waere es tatsaechlich der einziege Inhalt in den Scripten), oder ob du
noch den Umweg ueber ssh gehen willst/musst (dann musst du den Befehl
irgendwie ueber ssh absetzen). Achja, wenns nicht will, wie immer: $PATH
kontrollieren, in Cron-jobs ist der meist nicht/unvolstaendig gesetzt.
zur Not halt "/pfad/zu/programm" immer davor setzen (z.B. /sbin/iptables).

> 
>>nur bei den Regeln, da bin ich mir garnich sicher, weiss ja auch nich
>>was fli4l da zu bieten hat, basiert doch noch auf Kernel 2.2? Nun, man
>>hilft...
> 
> Ja, fli4l berucht auf Kernel 2.2.19
> 
Hmmm, das hab ich befuerchtet. Nungut, im laufe der Kernel-versionen (an
der 2.ten stelle) hat sich das "firewall-modul", und seine
Arbeitsweise/Parameter, mehrfach geaendert. Ich glaube 2.2 (Frag einen
der anderen Experten, ich kenn nur "iptables") hat "ipchains",
dementprechend wirst du die ipchains-Syntax zum definieren einer Regel
benutzen muessen, das entsprechende Programm zum einfuettern in den
Kernel, achja, auf dem fli4l muss das auch angeschaltet/installiert
sein, und es kann sein das sich deine Filtermoeglichkeiten (also auf
welche Packet-eigenschaften du Filtern kannst) unterscheiden.
(Tschuldigung das ich dir da nichts konkreteres sagen kann, ich habe
hier nur 2.6er, und in meinem Router habe ich im Kernel "Advanced
Router" angemacht, da wird dann Furz und Feuerstein angemacht)

> 
>>Oehm, achja, UDP vielleicht auch noch ausknippsen, sicher ist sicher.
> 
> 
> Hmm, jetzt muss ich wohl doch anfangen, mich tiefer in die Sache 
> einzuarbeiten; UDP ausknipsen=????
> 
> 
ausknipsen = unterdruecken:filtern:wegmachen:totlegen:/dev/null-routen

Na halt auch Zeitgesteuert durchlassen oder ablehnen, waere dann eben
*fast* die gleiche regel wie oben fuer TCP, nur noch mal fuer UDP, falls
das Programm (ICQ) auch eine Kontaktaufnahme ueber UDP vorsieht, eben
sicher ist sicher. Beispiel:

> iptables -t nat -D PREROUTING -i <eth-intern> -p udp -m udp --source <IP-deiner-Tochter> --dport 5190 -j REJECT --reject-with icmp-admin-prohibited

Merke: du kannst UDP-Packete nur mit icmp-packeten als Antwort ablehnen.

Ach! was sehe ich da grad in der man-page von iptables:

Using icmp-admin-prohibited with kernels that do not support it will
result in a plain DROP instead of REJECT.

Ah, toll der Kernel muss das koennen, sonst bekommst du nur nen
"Timeout", statt eines "Verbindung abgelehnt".

also dann eher "--reject-with icmp-port-unreachable"

> Geniale Idee eigentlich, aber in diesem Fall nicht notwendig; unsere Tochter 
> weiß, dass ich dabei bin, ihre Chat-Zeiten zu beschneiden. Gibt zwar Gemaule, 
> aber nur halbherzig...
> 
>
Warte bis sie sich da Reinfuchst, dann Administriert sie dich an die Wand...
Oder es Interressiert sie nicht die Hupe, auch gut, wird sie wenigstens
kein Nerd.

Hoffe, ich konnte dir wieder helfen.


Gruss
	Jan

-- 
[Primzahlenreihen]
Geht auch, jedenfalls falls man Physiker ist (These: Jede ungerade
Zahl > 1 ist eine primzahl. Beweis: 3 ist prim, 5 ist prim, 7 ist prim,
9 ist messfehler, 11 ist prim, 13 ist prim, sollte reichen...  ;)