Re: timeout mit ppp und dsl

From: Oliver Schneider <os(at)kobo.de>
Date: Wed, 13 Nov 2002 18:48:35 +0100

Hallo,

Also schrieb Bernd Walter am Wed, Nov 13, 2002 at 09:51:15AM +0100:
> On Tue, Nov 12, 2002 at 10:05:38PM +0100, Michael Gusek wrote:
> > eingebaut. Den PPP starte ich mit ppp -auto default. Am Ende der Mail kopier
> > ich noch die ganze ppp.conf. Nachdem ich also den ppp gestartet habe, denk
> > ich mir also, nach 300 Sekunden wird die Verbindung getrennt. Wird sie aber
> > nicht. Wird der timeout ignoriert ???
>
> Du wirst vermutlich von Anfragen für Peer to Perr Netze bombadiert.
> Der ppp geht dann davon aus, daß die Leitung noch Aktiv ist.
> Folgende Filterregeln haben sich bei mir bewährt:
> set filter dial 0 permit MYADDR 0/0 tcp
> set filter dial 1 permit MYADDR 0/0 udp
> set filter dial 2 permit MYADDR 0/0 icmp src eq 8
> set filter dial 3 permit 10.1.0.0/16 0/0 tcp
> set filter dial 4 permit 10.1.0.0/16 0/0 udp
> set filter dial 5 permit 10.1.0.0/16 0/0 icmp src eq 8
> set filter dial 9 deny 0/0 0/0
> set filter alive 0 permit MYADDR 0/0 tcp
> set filter alive 1 permit MYADDR 0/0 udp
> set filter alive 2 permit MYADDR 0/0 icmp src eq 8
> set filter alive 3 permit 10.1.0.0/16 0/0 tcp
> set filter alive 4 permit 10.1.0.0/16 0/0 udp
> set filter alive 5 permit 10.1.0.0/16 0/0 icmp src eq 8
> set filter alive 9 deny 0/0 0/0

imo greift das zu kurz:

    set filter dial 0 deny udp src eq 513 # rwhod
    set filter dial 1 deny udp src eq 525 # timed
    set filter dial 2 deny udp src eq 137 # NetBIOS name service
    set filter dial 3 deny udp src eq 138 # NetBIOS datagram service
    set filter dial 4 deny tcp src eq 139 # NetBIOS session service
    set filter dial 5 deny udp dst eq 137 # NetBIOS name service
    set filter dial 6 deny udp dst eq 138 # NetBIOS datagram service
    set filter dial 7 deny tcp dst eq 139 # NetBIOS session service
    set filter dial 8 deny tcp finrst # Badly closed TCP channels

insbesonder Nummer 9 aus dem Beispiel ist da interessant. Wenn die
Nummer 1-8 nicht per Firewall begrenzt werden, die je nach Netzwerk
auch. Ntp, rip und konsorten kann man auch noch dazu nehmen.

Wie gesagt tcpdump -ni :)

Gruß
Oliver

--
------------------------------------------------------------------
   Wie man weiss, ist "Windows" ebenfalls indianisch und heisst
      ,,Weisser Mann starren durch Glasscheibe auf Sanduhr``
------------------------------------------------------------------
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 13 Nov 2002 - 18:48:41 CET

search this site