ppp mit filter-option Neuübersetzen war: Daueronline

To: debian-user-german@lists.debian.org
Subject: ppp mit filter-option Neuübersetzen war: Daueronline
From: Gerhard Gaussling <ggrubbish@web.de>
Date: Tue, 17 Sep 2002 16:31:29 +0200
Message-id: <[🔎] E17rJNz-0001Wy-00@debian.workgroup.home>
Reply-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 20020917121505.GA8316@schlenn.net>
References: <[🔎] E17rDsw-0000U0-00@debian.workgroup.home> <[🔎] E17rFKL-0001Id-00@debian.workgroup.home> <[🔎] 20020917121505.GA8316@schlenn.net>

Am Dienstag, 17. September 2002 14:15 schrieb Michael Schlenstedt:
> [...]
> > Wie könnte ich da weiter vorgehen?
>
> Die "Tests" könntest Du mit einem Paketfilter umgehen (iptables).
> Damit trotzdem aufgelegt wird, kannst Du den Active Filter des
> pppd verwenden, der läuft hier (mit zig eDonkey-Anfragen von
> aussen) ohne Probleme:
>
> "Automatische Abwahl trotz Traffic von außen - Ist das möglich?"
> http://www.adsl4linux.de/cgi-bin/faq?file=69

Danke für den Link

Ich zitiere mal:

<cite>
 Wenn man nun also den ppp-Daemon mit dem Parameter "active-filter 
'outbound'" startet, wird nur dann der idle-Zähler auf Null 
gesetzt, wenn Traffic von innen kommt. Dies sollte IMHO die 
Verbindung kaum einmal zu früh kappen, da ja von fast allen 
Protokollen eine Rückmeldung bzw. ein "ich will mehr..." gesendet 
wird.

Das bringt uns schonmal 'ne ganze Ecke weiter, aber nicht weit 
genug: - Viele Firewalls senden bei einem unerlaubten Zugriff ein 
ICMP-Port-unreachable-Packet. - Aber auch ohne Firewall ist's nicht 
viel besser: dieses ICMP-Port-unreachable wird auch standardmäßig 
gesendet, wenn jemand per UDP versucht, auf einen Port zuzugreifen, 
auf dem kein Server-Daemon horcht. - Auch bei TCP-Zugriffen wird 
'was gesendet: ein tcp-reset. => jedenfalls weiterhin Traffic von 
innen, der von außen hervorgerufen werden kann!

Dagegen hilft die Erweiterung des Filters auf:

active-filter 'outbound and not icmp[0] == 3 and not tcp[13] & 4 != 
0'

=> Nur ausgehender Traffic wird als "aktiver Traffic" gezählt, es 
sei denn, daß es sich um ICMP-Port-unreachables bzw. tcp-resets 
handelt. 
</cite>

nun steht in meiner options außerdem noch: 

active-filter 'outbound and not icmp[0] == 3 and not tcp[13] & 4 != 
0'

Leider ohne Erfolg.

auch 

active-filter 'outbound and not tcp[13] & 4 != 0 and not icmp[0] != 
8'
-> nur 'rausgehender Traffic setzt den Idle-Zähler zurück, sofern 
es weder ein TCP-Reset noch ein ICMP-Packet war, außer es war ein 
Ping.

bringt keinen Erfolg.

I meiner Kernel .config steht CONFIG_PPP_FILTER=y
Soweit so gut.

Muß der pppd version 2.4.1 bei debian neuübersetzt werden, um das 
zu unterstützen? :

<cite>
-->Dann "./configure", dann das "pppd/Makefile" editieren (Filter=Y)
</cite>

Falls das so funktioniert muß ich wohl den pppd neuübersetzen, weil 
ich immer noch  
15:10:02.064119 172.184.174.254 > 192.168.0.1: icmp: echo request 
(DF)
15:10:02.134027 195.93.67.224 > 172.184.174.254: icmp: host 
192.168.0.1 unreachable
erhalte.

Wie kann ich testen, ob der pppd die filter option unterstützt?
/usr/src/packages/SPECS/ppp.spec kann ich auch nach apt-get source 
ppp nicht finden.

mit apt-get source ppp habe ich diese version installiert:
ii  ppp            2.4.1.uus-4    Point-to-Point Protocol (PPP) 
daemon.

Wie kann ich das Source paket mit der entspechenden option 
neuübersetzen?

cd <ppp-sourceverzeichnis>
cd ppp
vi @Makefile
#Filter=Y das # entfernen
fakeroot dpkg-buildpackage -b
[...]
dpkg-deb: baue Paket »ppp-udeb« in 
»../ppp-udeb_2.4.1.uus-4_i386.udeb«.
 dpkg-genchanges -b
dpkg-genchanges: binary-only upload - not including any source code
dpkg-buildpackage: binary only upload (no source included)

Mit dpkg-buildpackage im sourceverzeichnis erhalte ich das paket  
ppp-udeb_2.4.1.uus-4_i386.udeb, das sich nicht installieren lässt.

debian:/home/gerhard/ppp-2.4.1.uus# dpkg -i 
../ppp-udeb_2.4.1.uus-4_i386.udeb
dpkg: Betrachte .../ppp-udeb_2.4.1.uus-4_i386.udeb, welches 
ppp-udeb enthält:
 ppp kollidiert mit ppp-udeb
  ppp-udeb (Version 2.4.1.uus-4) soll installiert werden.
dpkg: Fehler beim Bearbeiten von ../ppp-udeb_2.4.1.uus-4_i386.udeb 
(--install):
 kollidierende Pakete - installiere ppp-udeb nicht
Fehler traten auf beim Bearbeiten von:
 ../ppp-udeb_2.4.1.uus-4_i386.udeb

Hmmm ...
Wie kann ich den neuen ppp installieren?

<cite>
dieses ICMP-Port-unreachable wird auch standardmäßig gesendet, wenn 
jemand per UDP versucht, auf einen Port zuzugreifen, auf dem kein 
Server-Daemon horcht.
</cite>

oder brauche ich auf 192.168.0.1 etwa einen daemon ;-)

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
stellt die echo replies ab. (Bei mir scheinbar nicht: Alles 
unverändert)

ciao

gerhard

Reply to:

Follow-Ups:
- Neuübersetzen doch nicht nötig? war: Daueronline
  - From: Gerhard Gaussling <ggrubbish@web.de>

References:
- pppd demand : Daueronline trotz idle 59 in options
  - From: Gerhard Gaussling <ggrubbish@web.de>
- Re: pppd demand : Daueronline trotz idle 59 in options
  - From: Gerhard Gaussling <ggrubbish@web.de>
- Re: pppd demand : Daueronline trotz idle 59 in options
  - From: Michael Schlenstedt <mailinglists_Michael@schlenn.net>

Prev by Date: Re: DNS-Problem
Next by Date: Mozilla: Java-Applets mit SDK v1.4.1
Previous by thread: Re: pppd demand : Daueronline trotz idle 59 in options
Next by thread: Neuübersetzen doch nicht nötig? war: Daueronline
Index(es):
- Date
- Thread