Am 2003-10-07 11:40:07, schrieb Andreas Behnert:
Woody 3.0r1, Paket ppp in Version 2.4.1.uus-4, eine /etc/peers/foo hat ~~~snip~~~ active-filter "not tcp dst port (135 or 137 or 445 or 4662)" ~~~snip~~~
Entschuldige das ichfrage, aber warum "not tcp..." Die Anfragen sich doch alle auf UDP !!!
Michelle - R�tzelnd...
und das funktioniert definitiv, wurde mit "telnet <host> <einer_der_vier_ports>" getestet - keine automatische Einwahl, voila. Lieber w�re mir zwar noch eine M�glichkeit der Unterscheidung nach incoming/outgoing, aber egal, so wie es ist reicht es eigentlich auch aus.
Du sprichst hier von einwahl, also vom localen Netzwerk ins Internet. Bei mir ist genau umgekehrt, denn ich kann mich ja einwandfrei ins Internet einw�hlen, denn ich habe ja keine Win-Kisten im localen Netzwerk. Ich habe das problen, das WENN ich einmal ins Internet eingelogt bin, ich mich nicht mehr ausloggen kann, weil von AU�EN die UDP-Anfragen hineinkommen und der pppd denkt, das it legitime traffic.
Jo, bei mir geht es auch um Anfragen von aussen. Und wie ja schon oben steht gibt es beim pppd und dem active-filter keine Unter- scheidung zwischen incoming und outgoing - Traffic ist scheinbar Traffic, egal welche Richtung, zumindest habe ich da noch nix gefunden. Eine M�glichkeit w�re "dst" und die eigene dynamische IP, doch in dem Moment wenn die peers-Datei abgearbeitet wird ist die eigene IP ja noch nicht bekannt. Der Nebeneffekt der o.g. Zeile "not tcp ..." ist eben, dass bei Zugriffen von innen nach aussen mit einem der vier Ports als Zielports die Verbindung nicht auf- gebaut wird. Ist bei mir aber kein Problem da diese Ports sowieso uninteressant sind :-)
Hatte mal alle 5 eth und den ppp0 auf incoming und outgoing traffic �berpr�ft (Jede menge MBytes Logs) und das einzige was bei mir �ber UDP geht, sind die DNS-Anfragen. Alles andere ist TCP...
"active-filter" definiert ja die Sachen die als "Aktivit�t auf der Leitung" gewertet werden. Also schreibt man die Sachen rein die nicht z�hlen sollen und negiert den Ausdruck. Wenn ich die tcpdump-Syntax richtig verstanden habe (Priorit�ten bei not, and, or usw.) m�sste sich das "not" am Anfang der Zeile auf den gesamten danach folgenden Ausdruck beziehen, also sowas wie "not (tcp port xxx ...)". Und das tut auch. Laut meinem Log sind die Zugriffe auf 135, 445 (beides Win?) und 4662 (Emule?) alle via TCP, die 137 m�sste ich nochmal schauen, aber das war wohl auch TCP. Wenn jemand von aussen einen Portscan auf die eigene Kiste losl�sst hilft das nat�rlich auch nix, aber um die per- manenten Emule-Zugriffe und die 135er Windows-Attacken zu ignorieren reicht es aus ... :)
Gru�, ab
--
Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
