FBF nicht mehr anpingbar machen

[blackhawk81]

:lol:
Für die die es brauchen können

so sperrt man den Ping von aussen aus:

1.) Telnet / SHH Login
2.) nvi /var/flash/ar7.cfg
3.) unter dslifaces unter lowinput diese Linie eintragen:
"reject icmp any any",

Beispiel hier:

        dslifaces {
                name = "internet";
                dsl_encap = dslencap_inherit;
                ppptarget = "internet";
                etherencapcfg {
                        use_dhcp = yes;
                        ipaddr = 0.0.0.0;
                        netmask = 0.0.0.0;
                        gateway = 0.0.0.0;
                        dns1 = 0.0.0.0;
                        dns2 = 0.0.0.0;
                }
                stay_always_online = yes;
                redial_delay_after_auth_failure = 1m;
                redial_limit = 3;
                redial_after_limit_reached = 1h;
                username_prefix_after_auth_failure = "D";
                dsldpconfig {
                        security = dpsec_firewall;
                        lowinput {
                                policy = "permit";
                                accesslist =
                                             "deny ip any 242.0.0.0 255.0.0.0",
                                             "deny ip any host 255.255.255.255",
                                             "deny udp any any eq 135",
                                             "deny tcp any any eq 135",
                                             "deny udp any any range 137 139",
                                             "deny tcp any any range 137 139",
                                             "deny udp any any range 161 162",
                                             "deny udp any any eq 520",
                                             "deny udp any any eq 111",
                                             "deny udp any any eq 22289",
                                             "deny udp any any eq 1710",
                                             "deny udp any any eq 1048",
                                             "deny udp any any eq 158",
                                             "reject icmp any any",
                                             "deny udp any any eq 515";
                        }
                        lowoutput {
                                policy = "permit";
                        }
                        highinput {
                                policy = "permit";
                        }

 

[betateilchen]

Hatten wir irgendwie am 07.07. schonmal :wink:

http://www.ip-phone-forum.de/forum/viewtopic.php?p=156670#156670

 

[blackhawk81]

hoppsala ^^

mhh ok habs gerade gesehen .. sorrüüüüü

bin gerade mehr damit beschäftigt die webseiten umzubauen von der box ^^
mir war zwar so als hatte ich schonmal gesehen aber war mir nimmer sicher.

 

[betateilchen]

Kein Problem - ich wußte das auch nur, weil die Diskussion zu dem Thema erst vor einigen Tagen auch nochmal in einem anderen Thread aufkam :mrgreen:

 

[JensemannWF]

da das icmp protokoll ja auch wichtige funktionale eigenschaften hat, ist ein pauschales reject wohl nicht die optimale lösung.
sinnvoller wäre es, lediglich icmp typ8 (echo request) zu blocken, sofern man das so feingranular defineren könnte.
kennt jemand den weg, diese differenzierung zu machen?
gruß jens

:lol:
Für die die es brauchen können

so sperrt man den Ping von aussen aus:

1.) Telnet / SHH Login
2.) nvi /var/flash/ar7.cfg
3.) unter dslifaces unter lowinput diese Linie eintragen:
"reject icmp any any",

Beispiel hier:

        dslifaces {
                name = "internet";
                dsl_encap = dslencap_inherit;
                ppptarget = "internet";
                etherencapcfg {
                        use_dhcp = yes;
                        ipaddr = 0.0.0.0;
                        netmask = 0.0.0.0;
                        gateway = 0.0.0.0;
                        dns1 = 0.0.0.0;
                        dns2 = 0.0.0.0;
                }
                stay_always_online = yes;
                redial_delay_after_auth_failure = 1m;
                redial_limit = 3;
                redial_after_limit_reached = 1h;
                username_prefix_after_auth_failure = "D";
                dsldpconfig {
                        security = dpsec_firewall;
                        lowinput {
                                policy = "permit";
                                accesslist =
                                             "deny ip any 242.0.0.0 255.0.0.0",
                                             "deny ip any host 255.255.255.255",
                                             "deny udp any any eq 135",
                                             "deny tcp any any eq 135",
                                             "deny udp any any range 137 139",
                                             "deny tcp any any range 137 139",
                                             "deny udp any any range 161 162",
                                             "deny udp any any eq 520",
                                             "deny udp any any eq 111",
                                             "deny udp any any eq 22289",
                                             "deny udp any any eq 1710",
                                             "deny udp any any eq 1048",
                                             "deny udp any any eq 158",
                                             "reject icmp any any",
                                             "deny udp any any eq 515";
                        }
                        lowoutput {
                                policy = "permit";
                        }
                        highinput {
                                policy = "permit";
                        }