Re: [Debian]:isdn+netbios+ipchains

[Gerald Preissler <Gerald.Preissler@gmx.de>]

"Holger Bleul" <holger.bleul@ruhr-uni-bochum.de> writes:

[snip]
> Daraufhin habe ich nochmals unter /etc/ipmasq/rules/ZZZdenyandlog.rul
> 
> ipchains-Einträge ausprobiert der Art:
> 
>  
> 
>     $IPCHAINS -A output  -j DENY -i ippp0 -p UDP -d 0/0 136:139
>     $IPCHAINS -A output  -j DENY -i ippp0 -p TCP -d 0/0 136:139
>     $IPCHAINS -A forward -j DENY -i ippp0 -p UDP -d 0/0 136:139
>     $IPCHAINS -A forward  -j DENY -i ippp0 -p TCP -d 0/0 136:139
> 
>  
> 
> um den Verkehr auf diesen Ports zu sperren. Nach restart von ipmasq erhalte ich
> folgende Meldungen auf ipchains -L:
> 
>  
> 
> DENY       all  ----l-  192.168.1.0/24       anywhere              n/a
> DENY       all  ----l-  anywhere             anywhere              n/a
> Chain forward (policy DENY):
> target     prot opt     source                destination           ports
> MASQ       all  ------  192.168.1.0/24       anywhere              n/a
^^^^^^^
> DENY       all  ----l-  anywhere             anywhere              n/a
> DENY       udp  ------  anywhere             anywhere              any ->   136:
> netbios-ssn
> DENY       tcp  ------  anywhere             anywhere              any ->   136:
> netbios-ssn
> Chain output (policy DENY):
> target     prot opt     source                destination           ports
> ACCEPT     all  ------  anywhere             anywhere              n/a
> ACCEPT     all  ------  anywhere             192.168.1.0/24        n/a
^^^^^^^
> ACCEPT    !tcp  ------  anywhere             BASE-ADDRESS.MCAST.NET/4  any ->
> any
> ACCEPT     all  ------  134.147.0.0/16       anywhere              n/a
> DENY       all  ----l-  anywhere             192.168.1.0/24        n/a
> DENY       all  ----l-  anywhere             anywhere              n/a
> DENY       udp  ------  anywhere             anywhere              any ->   136:
> netbios-ssn
> DENY       tcp  ------  anywhere             anywhere              any ->   136:
> netbios-ssn
> 
>  
> 
> Scheint so, als wär die Message angekommen. Dch sobald ich Netzwerkumgebung oder
> Computer suchen unter Win aufrufe,
> 
> kommt es wieder zu Verbindungsaufbauten unter Anfragen an Port137 (manchmal auch
> 138).
[snip]

Hallo Holger,

wenn ich den Output von ipchains -L richtig deute, dann hast Du in
jeder chain schon eine Regel stehen, die die entsprechenden Packete
akzeptiert (oben mit ^^^^^ markiert), und die erste Regel die paßt
wird genommen.

Ich bin mit der Konfiguration von ipmasq selber nicht klargekommen und 
habe mir eine kleine Sammlung von Skripten gestrickt, mit denen ich
iqchains direkt aufrufe. Funktioniert bei mir ganz gut (bis auf ftp
mit dynamischen Ports :-( ) und ist so aufgebaut, daß ich neue
Dienste, die ich zulassen will einfach einfügen kann. Wenn Du willst,
kann ich es Dir gerne mal schicken.

> 
> Bitte helft mir und lasst Euch nicht davon abschrecken, dass ich diesmal etwas
> ausführlicher schreibe.

Ausführliche Fehlermeldungen sind immer gut.

und tschuess
        Jerry
------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder:     734