Linux 15.038 Themen, 107.132 Beiträge

Verfolgung starten Optionen

Nach Ablauf der Idle-Time kein autom. Verbindungsaufbau mögl.

-=Sam=- / 3 Antworten / Baumansicht Nickles

Hi!
Mein Problem ist folgendes:
Habe mir eine Firewall unter Linux eingerichtet. Sie wählt sich automatisch ins Internet ein, sobald eine Aufforderung übers LAN erfolgt. Alles null Problemo - nur, dass sie sich nach dem Ablauf der Idle-Time eben NICHT mehr automatisch einwählt.

Ich habe sie so eingestellt, dass sie nach 10Min. Inaktivität die Verbindung beenden soll. Wenn ich nach dieser Zeit wieder Surfen will, passiert null. Ich muss mich erst "von Hand" mit dem Befehl "isdnctrl dial ippp0" wieder einwählen.

Habe null Ahnung woran es liegen könnte.

MfG
Sam

bei Antwort benachrichtigen
-=Sam=- Nachtrag zu: „Nach Ablauf der Idle-Time kein autom. Verbindungsaufbau mögl.“
Optionen

Hi!
Habe Problem lokalisiert und eine Lösung gefunden (die mir aber nicht so gefält):

Vor dem ersten Einwählen sind noch alle Policies von IP-Chains auf ACCEPT gesetzt. Wärend des Einwählens wird /etc/ppp/ip-up ausgeführt. An dieser Stelle wird die Firewall aktiviert - im Abschnitt
:
case "$BASENAME" in
ip-up)
[Hier habe ich den "Link" auf mein Firewallskript]

so. jetzt ist sie Aktiv. Wird die Verbindung getrennt (nach Timeout) und versucht erneut aufs WWW zuzugreifen, sind die Policies der Firewall so gesetzt, dass es zu keinem Verbindungsaufbau kommt.
(Offenbar werden erst die Regellisten von IPCHAINS durchlaufen, bevor "ip-up" aufgerufen wird)

Meine Lösung:
ich habe ebenfalls in die Datei "ip-up" ein Weiteres Skript Ausführen lassen, dass alle Policies wieder auf ACCEPT setzt, und zwar dann wenn die Verbindung abgebaut wird:

case "$BASENAME" in
ip-down)
[Hier der Link auf das "ACCEPT-Skript"]

Meine Frage: stellt das ein Sicherheitsrisiko dar? Ich meine, dass ich alle Policies wieder auf ACCEPT setze? Ich glaub nicht, da ich zu diesem Zeitpunkt ja nicht mehr Online bin. Und anwählen darf mich sowieso niemand (unter YaST bei ISDN-Konfig. so eingestellt).

Gibt es andere Lösungen für dieses Problem??


MfG

Sam

bei Antwort benachrichtigen
Klaus_T -=Sam=- „Hi!Habe Problem lokalisiert und eine Lösung gefunden die mir aber nicht so...“
Optionen

Du bist waehrend der ersten Sekunden, wenn die Verbindung steht und die ip-up ausgefuehrt wird,
angreifbar, je nachdem wie lange es dauert, bis das Firewallscript ausgefuehrt ist. Auf meinem Rechner
(P90) dauert es 6 sekunden. Ich habe allerding als erste Regel alles auf Deny stehen und bei mir
klappt das alles. Ich kann mir eigentlich nur vorstellen, dass sie alte Route nicht abgebaut wird bei
der Auswahl und Du deshalb keine Verbindung bekommst. Welche Distri hast Du denn?

Hast Du die Originale ip-up oder eine selbstgebaute?

Bye, Klaus

bei Antwort benachrichtigen
-=Sam=- Klaus_T „Du bist waehrend der ersten Sekunden, wenn die Verbindung steht und die ip-up...“
Optionen

Hi!
Ich habe die SuSE-Distribution 6.3. Ip-Up ist original.
Aber es ist wirklich so, wie ich es vermutet hatte (jedenfalls bei mir):
Es wird erst die Firewall-Regelliste abgearbeitet. Wenn eine Regel zutrifft (=ACCEPT) wird ip-up aufgerufen.

Ich denke ich kann mit der Lösung leben, einfach wieder alle Poicies auf ACCEPT zu setzten, wenn ich mich Abwähle. Dass ich kurz nach dem Einwählen "angreifbar" bin ist mir fast egal. Ich habe ebenfalls als erste Regel in der Firewall, alles auf DENY bzw. REJECT zu setztn.

MfG

Sam

bei Antwort benachrichtigen