FBF nicht mehr anpingbar machen

blackhawk81

Neuer User
Mitglied seit
14 Okt 2005
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
:lol:
Für die die es brauchen können ;)

so sperrt man den Ping von aussen aus:

1.) Telnet / SHH Login
2.) nvi /var/flash/ar7.cfg
3.) unter dslifaces unter lowinput diese Linie eintragen:
"reject icmp any any",

Beispiel hier:
Code:
        dslifaces {
                name = "internet";
                dsl_encap = dslencap_inherit;
                ppptarget = "internet";
                etherencapcfg {
                        use_dhcp = yes;
                        ipaddr = 0.0.0.0;
                        netmask = 0.0.0.0;
                        gateway = 0.0.0.0;
                        dns1 = 0.0.0.0;
                        dns2 = 0.0.0.0;
                }
                stay_always_online = yes;
                redial_delay_after_auth_failure = 1m;
                redial_limit = 3;
                redial_after_limit_reached = 1h;
                username_prefix_after_auth_failure = "D";
                dsldpconfig {
                        security = dpsec_firewall;
                        lowinput {
                                policy = "permit";
                                accesslist =
                                             "deny ip any 242.0.0.0 255.0.0.0",
                                             "deny ip any host 255.255.255.255",
                                             "deny udp any any eq 135",
                                             "deny tcp any any eq 135",
                                             "deny udp any any range 137 139",
                                             "deny tcp any any range 137 139",
                                             "deny udp any any range 161 162",
                                             "deny udp any any eq 520",
                                             "deny udp any any eq 111",
                                             "deny udp any any eq 22289",
                                             "deny udp any any eq 1710",
                                             "deny udp any any eq 1048",
                                             "deny udp any any eq 158",
                                             "reject icmp any any",
                                             "deny udp any any eq 515";
                        }
                        lowoutput {
                                policy = "permit";
                        }
                        highinput {
                                policy = "permit";
                        }
 
hoppsala ^^

mhh ok habs gerade gesehen .. sorrüüüüü

bin gerade mehr damit beschäftigt die webseiten umzubauen von der box ^^
mir war zwar so als hatte ich schonmal gesehen aber war mir nimmer sicher.
 
Kein Problem - ich wußte das auch nur, weil die Diskussion zu dem Thema erst vor einigen Tagen auch nochmal in einem anderen Thread aufkam :mrgreen:
 
da das icmp protokoll ja auch wichtige funktionale eigenschaften hat, ist ein pauschales reject wohl nicht die optimale lösung.
sinnvoller wäre es, lediglich icmp typ8 (echo request) zu blocken, sofern man das so feingranular defineren könnte.
kennt jemand den weg, diese differenzierung zu machen?
gruß jens

blackhawk81 schrieb:
:lol:
Für die die es brauchen können ;)

so sperrt man den Ping von aussen aus:

1.) Telnet / SHH Login
2.) nvi /var/flash/ar7.cfg
3.) unter dslifaces unter lowinput diese Linie eintragen:
"reject icmp any any",

Beispiel hier:
Code:
        dslifaces {
                name = "internet";
                dsl_encap = dslencap_inherit;
                ppptarget = "internet";
                etherencapcfg {
                        use_dhcp = yes;
                        ipaddr = 0.0.0.0;
                        netmask = 0.0.0.0;
                        gateway = 0.0.0.0;
                        dns1 = 0.0.0.0;
                        dns2 = 0.0.0.0;
                }
                stay_always_online = yes;
                redial_delay_after_auth_failure = 1m;
                redial_limit = 3;
                redial_after_limit_reached = 1h;
                username_prefix_after_auth_failure = "D";
                dsldpconfig {
                        security = dpsec_firewall;
                        lowinput {
                                policy = "permit";
                                accesslist =
                                             "deny ip any 242.0.0.0 255.0.0.0",
                                             "deny ip any host 255.255.255.255",
                                             "deny udp any any eq 135",
                                             "deny tcp any any eq 135",
                                             "deny udp any any range 137 139",
                                             "deny tcp any any range 137 139",
                                             "deny udp any any range 161 162",
                                             "deny udp any any eq 520",
                                             "deny udp any any eq 111",
                                             "deny udp any any eq 22289",
                                             "deny udp any any eq 1710",
                                             "deny udp any any eq 1048",
                                             "deny udp any any eq 158",
                                             "reject icmp any any",
                                             "deny udp any any eq 515";
                        }
                        lowoutput {
                                policy = "permit";
                        }
                        highinput {
                                policy = "permit";
                        }
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.