DoD&dsl problem mit portanfrage vom Internet

moin moin

Kennt jemand eine lösung für folgendes problem ??

DSL wird fürs private netz per dod angewählt.
Wenn eine dyn IP erwischt wird auf der vorher jemand
via peer2peer NW ( Gnutella etc ) gearbeitet hat
kommen ständig anfragen auf port 6346
Diese werden zwar von der firewall geblockt aber die verbindung wird nicht beendet.

Wie kann ich erkennen das die verbindung nur aufgrund von
verbindungsanfragen von aussen aufrecht erhalten wird ?

Ich verwende Linux Suse distri 7.3 mit 2.4 Kernel
DSL per pppd (kernel) mit squid und iptables FW

Phagsae

Kennt jemand eine lösung für folgendes problem ??

DSL wird fürs private netz per dod angewählt.
Wenn eine dyn IP erwischt wird auf der vorher jemand
via peer2peer NW ( Gnutella etc ) gearbeitet hat
kommen ständig anfragen auf port 6346
Diese werden zwar von der firewall geblockt aber die
verbindung wird nicht beendet.

Wie kann ich erkennen das die verbindung nur aufgrund von
verbindungsanfragen von aussen aufrecht erhalten wird ?

Phagsae

Bevor du danach suchst, wie man aus/eingehende Verbindungen prüft und entsprechend handelt (wobei ich dir aus dem Hut nicht helfen kann), folgender Tip:

Wenn deine Firewall ankommende Packets auf Port 6346 mit DENY beantwortet, stelle auf REJECT um. Das bewirkt, das die Gegenseite eine Antwort erhält (nämlich „zisch ab und lass mich in Ruhe“).

Bei DENY bekommt die Gegenseite *keine* Meldung. Es kann durchaus sein, dass sie dann solange weiter probiert, bis sie eine Antwort kriegt, nämlich „OK“ oder „zisch ab“. Bei letzterer sollte dann Ruhe sein.

  • DENY: verwirf das Paket ohne Rückmeldung
  • REJECT: verwirf das Paket, gibt aber eine (negative) Rückmeldung an den Absender

Gruss Axel

Moin :smile:

Bevor du danach suchst, wie man aus/eingehende Verbindungen
prüft und entsprechend handelt (wobei ich dir aus dem Hut
nicht helfen kann), folgender Tip:

Wenn deine Firewall ankommende Packets auf Port 6346 mit DENY
beantwortet, stelle auf REJECT um. Das bewirkt, das die
Gegenseite eine Antwort erhält (nämlich „zisch ab und lass
mich in Ruhe“).

Bei DENY bekommt die Gegenseite *keine* Meldung. Es kann
durchaus sein, dass sie dann solange weiter probiert, bis sie
eine Antwort kriegt, nämlich „OK“ oder „zisch ab“. Bei
letzterer sollte dann Ruhe sein.

  • DENY: verwirf das Paket ohne Rückmeldung
  • REJECT: verwirf das Paket, gibt aber eine (negative)
    Rückmeldung an den Absender

HI Axel
Jo könnte man mal ausprobieren werd mal das DROP durch ein REJECT ersetzten
( iptables kennt kein DENY )

Allerdings erzeuge ich dann von innen nach aussen traffic
Und binn dann immer noch der gnade des „anrufers“ ausgeliefert
doch jetzt mal die verbindungsanfrage zu stoppen

Das hat im aktuellen fall 1979 min gedauert ( grrrrrrrr…)

Muss mal schaun obs im pppd eine min option gibt
Oder iptables irgend eine schnittstelle bereitstellt

Wenn ich nix find werte ich einfach das log file aus
und schreib mir ein script das die verbindung kappt

Phagsae