ICMP bei IPCop 1.3 deaktivieren

#16 @biomasse

Es gibt auch andere Möglichekiten herauszufinden ob deine Kiste läuft oder nicht. Die Nachteile kann ich dir nicht alle aufzählen hängt davon ab welche Daemons bei dir laufen und welche nicht hinzu kommt das es dämlich ist, nichts bringt und auch nicht konform ist. Das sollte bereits genug sein aber ein 'windowsfuzi' hat halt keine Ahnung was er da wirklich tut im endeffekt hast du 0 resultat gar nichts kein bisschen. Auch wenn für dich diese 'Illusion' erhalten bleibt.

Von Rote, Gelbe und FLiederne Karten hab ich kein Plan Sach mir lieber welches Device du meinst.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#17 Ohhh madremio
nochmal, es gibt z.B. eine Software von Symantec, eine Desktopfirewall
oder andere Desktopfirewalls von anderen Firmen.
So diese haben die Angewohnheit auf der Site:
http://scan.sygate.com bei allen Potscans ein BLOCKED zu bringen.

Nun isses doch für den Laien nicht verständlich wenn alles geblocked wird
nur der shitty ICMP 8 nicht.
Dann steht auch darunter: You are not fully Protected.

Hier geht es wirklich um Augenwischerei, das ist schon klar aber es gibt eben diese Möglichkeit zu verhindern das ein Echo zurück kommt.

Das man auch noch andere Möglichkeiten hat, um zu sehen ob die Kiste Online ist, ist mir auch klar. Aber es ging darum bei einem Ping kein Response zu bekommen. Und das ist möglich.
Irgendwo auf der Seite von IP-Cop wird ja auch darauf hingewiesen
das es nix bringt das abzustellen.

Und von gelben und fliedernen Karten habe ich schon gar nicht gesprochen.
A blauweisse war hoid wos, des is zünftig ;-)
Die rote Device ist die eth1 . Die connected über PPOE.
Die grüne Karte ist mein LAN eth0
Die Orange wäre die für DMZ, für den Webserver.
So sind die halt deklariert, kommt schon beim setup. Das habe ich nicht erfunden.
Meine Frage wäre dann: Kann man das so machen wie hier:
iptables -I OUTPUT -o eth1 -p icmp --icmp-type 8 -j DROP

Mich interresiert das eigentlich schon gar nicht mehr, trotzdem würde es mich freuen das jetzt richtig zu machen. Nur aus Spass an der Freud.

Gruß
Thomasfuzi

#18 naja dann ist eth1 korekkt.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#19 na hallo erstmal

hätte nicht gedacht, das meine frage nochmal ein solches echo auslöst.
na ja, wie dem auch sei....

@xeper
ich würde mich nicht als windowsfuzzi bezeichnen, aber das der ping eine echo gibt hat mich auch gestört. und nur das. dass das abschalten des echo unterm strich nichts bringt, jedenfalls nicht gegen einen der's ernst meint, ist und war mir auch klar. es ging und geht wie auch bei biomasse nur und ausschliesslich um kosmetik...


@biomasse

danke erstmal das du offensichtlich die antwort rausgefunden hast. hatte das thema bei mir schon ad acta gelegt. versuchs jetzt doch nochmal obs klappt.


@beide

streitet auch nicht um etwas, wo's doch gar nichts zu streiten gibt. ob das sinn macht oder nicht ist und bleibt, wie vieles andere auch, ansichtssache.


gruss
philipp

#20 Hahaha
Hallo philippCH

Na Streit würde ich das nicht nennen aber ich denke
Xeper kann es nicht mehr hören wenn einer versucht einen ping zu blocken.
Das das nicht geht ist schon klar, aber wenn es immer wieder gepostet wird könnte ich mir vorstellen das er mit seinem Wissen ( IPCHAINS IPTABLES )das er über diese Thema hat, einfach versucht das hier weiter zugeben.Und das er sich dann ab und zu die Haare rauft würde ich als normal sehen.
Das finde ich auch gut so, denn wenn man sich angeregt unterhält kommt unterm Strich meistens doch was positives dabei raus.

@xeper vielleicht nicht immer so impulsiv
antworten aber das ist schon OK so. :-)

Gruß
Thomas
Ps: probiere gerade die neue Smoothwall 2.0 Beta6 aus

#21 hallo thomas,

na gut, "streiten" war wohl etwas übertrieben, aber anhand der texte von xeper konnte man schon fast meinen, dass er sich gleich die haare ausreist über unserer ignoranz in bezug auf diesen schei.. echo......

aber ja, besser heiss diskutiert als gar nicht's gesagt....

Zitat

biomasse postete
Ps: probiere gerade die neue Smoothwall 2.0 Beta6 aus

kannst du mir mal deine erfahrungen mit der smoothwall mitteilen. überlege mir auch ein rückwechsel. hatte früher die smoothwall 0.9.


gruss
philipp

#22 Tjoa ich bin oft sehr impulsiv das liegt halt in meiner Natur. Ebenso liegt es nicht in meiner Natur ignorant zu sein, ich könnte ja auch einfach die Antwort geben die zu der Frage passt und was daraus dann wird könnte mir ja auch theoretisch egal sein - ist es aber nicht. Genauso gefällt es mir nicht das Sachen wie IPcop, fli4l und smoothwall das GNU/Linux System so zweck-entfremden. Denn GNU ist eigentlich sehr viel mehr als manchen klar ist und viele glauben immer noch das, dass ganze 'Linux' heißt. Das bunti-klicki mag zwar einfacher sein aber nur auf dem ersten Blick - letztendlich ist es einfacher Befehle zu lernen als irgendwo hin zu klicken. Außerdem hat man dadurch sein System unter Kontrolle. All diese Dinge wie IPcop und co haben eigentlich gar kein Sinn sie versuchen auf kompliziertem Wege Dinge zu vereinfachen - aber ich finde mein iptables script sehr viel einfacher. Es sind ja lediglich nur Befehle die hintereinander ausgeführt werden, es ist keine Programmierung. Deswegen ist es mir auch unverständlich wieso manchen dies so schwer erscheint auf ein GUI zu verzichten wo letztendlich keins gebraucht wird.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#23 im grossen ganzen geb ich dir recht was deine aversion zu diesem bunti-klicki zeugs angeht.
aber fact ist auch, dass es genau erst diese dinger auch einem nicht so versierten user erlauben ein halbwegs sicheres system aufzubauen. klar, wenn man etwas spezielleres will, wie z.b. diesen scheiss echo ausschalten, dann muss man tiefer reingehen. ich habe ja auch nie behauptet, dass ich dieses echo aus dem frontend heraus abschalten will. die iptables hab ich mir übrigens angesehen und du kannst mir sicher nicht widersprechen wenn ich sage: da staunt der laie und versteht immer noch nichts...

aber es ist auch klar, das heute gui's an vielen orten zum einsatz kommen, wo's eigentlich gar nicht nötig wäre. aber versuch mal einem firmenvorstand die absolut keine ahnung von nichts haben ein system ohne diese buttons und grafiken zu verkaufen....

wir haben bei uns in der firma hierfür gleich zwei paradebeispiele...
während eine abteilung ihre auftragsbearbeitung auf dem grünen bildschirm eines IBM as400 erledigt und damit sehr effizient und absolut störungsfrei arbeitet, hat die andere abteilung, welche ihr system um jeden preis bunt haben will immer wieder probleme weil sich die scheiss gui's aufhängen. dazu kommt noch, dass diese die standleitung permanent am limit laufen haben, während die anderen nicht mal merken das sie ja gar nicht direkt am lan hängen. aber ja, hauptsache es ist schön bunt und es kann ja eh nicht teuer genug sein. (--> seitenhieb auf windows)


gruss
philipp

#24 @Xeper
hehehehe
hab dir hier auch nix übel genommen, und das Du nicht ignorant bist hat bestimmt schon vielen Usern geholfen, so ist das Forum glaube ich auch sehr beliebt.
Ich jedenfalls finde es toll wenn man jemanden hat den man fragen kann und der sich auch mal einmischt. Nur so ist ein Meinungsaustausch möglich.
Bleib so wie du bist Xeper.

Sicherlich ist es auch sehr schwierig zu verstehen, ich sage nur rote grüne Karte, wenn die user mit systemspezifischen Dingen um sich schmeissen,
wo dann der Mensch am anderen ende ne Antwort drauf haben soll.

Das mit GNU she ich genau so wie Du.
Bin übrigens 50% zu 50% zu dem Thema Windoof / Linux eingestellt. Aber das ist ja ne alte Dikussion, die wollen ma hier auch net aufgreifen fortsetzen oder wie auch immer.

Das mit dem bunti klicki (smoothwall in der beta6 is voll bunt )sehe ich auch so, philipp hat da ja auch schon geantwortet, da muss ich mich ihm anschliessen.

@philipp
hats geklappt ??

Gruß
Thomas

#25 hab's noch nicht probiert.... bin diese woche ziemlich demotiviert, um nach einem tag vor der kiste auch noch am abend zu hause ranzusitzen. zudem läuft das ding, abgesehen von einem kleinen problem beim fernwartungszugang, das mich aber auch nicht weiter stört, bereits seit 2 monaten ohne unterbruch und reboot absolut perfekt. und zudem überlege ich mir, wie ich ja schon erwähnt habe, den wechsel auf die smoothwall.

@xeper
bleib auf jedenfall wie du bist. wäre gut es gäbe noch mehr leute mit deiner einstellung und auch wissen in dem forum. deine tipps haben mir auch schon mehrere male weitergeholfen.


Gruss
Philipp

#26 http://antolien.free.fr/ipcop/en/

Der 1. Punkt!

Allerdings werden die Pings / ICMP Pakete nur verworfen geDROPt,
DoS ist so immernoch möglich, allerdings habt ihr hiermit was ihr wollt,
das euer IPCop nicht mehr auf Pings antwortet => Timeout.

Wichtig: Pings am grünen IF also im LAN bekomemn auch einen Timeout!