Hallo Leute,
einige wieterfuehrende Hinweise sind schon bei mir
eingegangen, vielen Dank all denen, die sich daran beteiligt haben. Das
ursprüngliche Problem von mir ist noch nicht beseitigt - deshalb noch ein
kleiner Aufruf mir zu helfen. Sollte ich die Wurzel des Problems nicht rupfen
koennen werde ich die alternativen Vorschlaege gerne beherzigen, so z.B. das
Paket pmfirewall installieren etc...
Mein Problem war, dass ich einen Linux-ISDN-Router
habe, an den ein Win-Netz angeschlossen ist. Alles funktioniert, doch wenn die
Win-Kisten einen broadcast/netbios auf den Ports 137-139 machen, waehlt sich der
Linux-Rechner(Potato, bind...) ins Internet ein.
Was ich probiert habe:
1.) Habe versucht in
/etc/isdn/device.ippp0 im Eintrag ifconfig... zu ergaenzen: -arp
-broadcast.
Hat nicht
geholfen. Aufruf von spaeterem ifconfig zeigte nur Parameter NOARP an. Hat also
-broadcast nicht beruecksichtigt, was sich auch in unveraenderter Lage
hinsichtlich des Einwaehlens
niederschlug...
2.) Nach Frustration habe
ich mich den ipchais zugewendet. Ein Eintrag in
/etc/ipmasq/rules/ZZZdenyandlog.rul der Art:
$IPCHAINS -A output -j DENY -i ippp0 -p UDP -d 0/0
136:139
$IPCHAINS -A output -j DENY -i ippp0 -p TCP -d 0/0
136:139
$IPCHAINS -A forward -j DENY -i ippp0 -p UDP -d 0/0 136:139 $IPCHAINS -A forward -j DENY -i ippp0 -p TCP -d 0/0 136:139 zeigte keinerlei
Wirkung, obwohl es das sollte.
Eine Abfrage
der Werte mit ipchains -L zeigt:
> DENY all ----l- 192.168.1.0/24 anywhere
n/a
> DENY all ----l- anywhere anywhere n/a > Chain forward (policy DENY): > target prot opt source destination ports > MASQ all ------ 192.168.1.0/24 anywhere n/a ^^^^^^^ > DENY all ----l- anywhere anywhere n/a > DENY udp ------ anywhere anywhere any -> 136: > netbios-ssn > DENY tcp ------ anywhere anywhere any -> 136: > netbios-ssn > Chain output (policy DENY): > target prot opt source destination ports > ACCEPT all ------ anywhere anywhere n/a > ACCEPT all ------ anywhere 192.168.1.0/24 n/a ^^^^^^^ > ACCEPT !tcp ------ anywhere BASE-ADDRESS.MCAST.NET/4 any -> > any > ACCEPT all ------ 134.147.0.0/16 anywhere n/a > DENY all ----l- anywhere 192.168.1.0/24 n/a > DENY all ----l- anywhere anywhere n/a > DENY udp ------ anywhere anywhere any -> 136: > netbios-ssn > DENY tcp ------ anywhere anywhere any -> 136: > netbios-ssn Die ^^^^^^^ -Eintraege stammen von Gerald Preissler
<Gerald.Preissler@gmx.de>
(vielen Dank), der der Ansicht ist, dass ich erst den Zugang generell erlaube,
dann teilweise wieder verbiete, was aber nicht beruecksictigt wird!?! Ist das
richtig? Dies steht zur u.A. zur Diskussion.
Ferner erhalte ich auch log-messeges. Irgendwann
beginnt ein log-Sturm auf Port 137. Erst wenn einige Zehn logs eingegangen sind,
beginnt der Verbindungsaufbau:
Packet log: input DENY ippp0 PROTO=17 ip-adresse1
26:137 ip-adresse2 :137 L=96 S=0x00 I=982 F=0x0000 T=64 (#6)
Dabei aendet sich der Paramter von I=... in
zunehmender Weise. Vielleicht haengt es auch damit zusammen. Denn erst wenn halt
genuegend logs eingegangen sind, beginnt der Verbindungsaufbau.
Ich bitte um viele Beitraege zur Loesung meines
Problems. Ich denke, dass der wesentliche Eintrag der ipchains wie oben
vorgenommen richtig ist. Vielleicht ist nur der ort falsch in
/etc/ipmasq/rules/ZZZdenyandlog.rul falsch. Vielleicht werden diese regeln aber
auch nicht mehr beachtet, da ich vorher schan allgemeinere permissions verteilt
habe?
Bitte helft mir...
Herzlichen Dank,
Holger
PS: Vorangehende Nachrichten:
sdn-router/udp 1-3, isdn+netbios+ |