PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : ports sperren fuer / aol / icq trillian / ....


oopeteroo
02.06.03, 17:01
hi all,

ich wuerde gern aol / trillian / und icq sperren .
weiss jemand wie ich das in der sfw2 anstelle ?

wo sehe ich welche ports gerade aktiv/offen sind ?

gruss, peter


p.s ein link im www wuerd mir scho helfen ... google gibt au nix gscheites aus !:mad:
gfc
02.06.03, 17:03
so einfach ists ned.. den anders als personal Firewalls auf windows sperren die auf Linux ned den Programmen den Zugriff, sondern filtern die Pakete.. und vorallem nützen SIM etc Highports, und wenn du die abschaltest, funktioniert auch sonst vieles nicht mehr..
Stormbringer
02.06.03, 17:15
Hi,

Du kannst es hiermit versuchen:
FW_ROUTE="no"
FW_ALLOW_INCOMING_HIGHPORTS_TCP="ftp-data"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="domain"

Gruß
Temp
03.06.03, 06:18
@stormbringer

du setzt doch nur Variablen????
Und was machst du damit ???

Gruß Temp
Stormbringer
03.06.03, 06:37
In der FW2 setzt Du nur Variablen.

Mittels FW_ROUTE="no" wir definiert, daß nur explizit erlaubte Ports benutzt werden, und die Highport Einstellungen definieren selbiges halt nur für ports > 1023.

Gruß
oopeteroo
03.06.03, 10:40
wenn ich FW_ROUTE="no" erinsetze und dann ein firewall stop/ start
mache dann sagt er das masquerade nicht mehr geht . das darf aber
bei mir nicht sein da ich mehrere clients ueber die firewall scheuche .
<ein test ergab auch das ich mit keinem client mehr ins netz kann >

was mir gar nicht gefaellt ist dieses unuebersichrtliche bei susefw2 .
hab ich noch eine alternative ? ich hab mal was gelesen von einem
"iptables-generator " ... wo find ich den ?

hat jemand eine lauffaehiges iptables wo er posten könnte ?

wie zwing ich meine suse 8.1 dazu , ein "neues " iptables und nicht das
von susefw2 zu benützen ?

danke und gruss , peter
javafreak
03.06.03, 11:12
den anders als personal Firewalls auf windows

das ist ein ecter vorteil von windows: man kann glatt sagen: die anwendung darf dieses, die anwendung jenes und diese anwendung gar nichts
diese bindung der regeln an binärdatein vermisse ich wirklich... giebt's da wirklich kein workaround(sandkasten-prinzip)?
Thomas
03.06.03, 14:40
Es gibt bei iptables eine Option im Modul "owner", mit welchem man im OUTPUT-Chain den Namen des Programms, von welchem die Daten gesendet werden, filtern kann. Die Option lautet --cmd-owner. Allerdings kann diese Option nur auf dem Rechner eingesetzt werden, wo auch das Programm läuft.
gfc
03.06.03, 17:06
naja, unter Windows ist das auch nötig von wegen "nach Hause telephonieren"
Temp
04.06.03, 06:30
@Stormbringer

ahhh oki :) Sorry, dann bin ich still ;)

Gruß Temp
javafreak
04.06.03, 07:38
Es gibt bei iptables eine Option im Modul "owner", mit welchem man im OUTPUT-Chain den Namen des Programms, von welchem die Daten gesendet werden, filtern kann. Die Option lautet --cmd-owner. Allerdings kann diese Option nur auf dem Rechner eingesetzt werden, wo auch das Programm läuft.


das ist doch schon mal was....

btw: bei windows verhält es sich nicht anders: nach applikationen kann man auch nur auf der machiene filtern, auf der sie laufen...