>>BTW2: hast Du PPP mit DynIP oder statischer IP?
>>Bei ersterem: noch mehr =DCberraschungen...Ehemalige (nicht geschlossene)
>>FTP-Verbindungen, die wieder einen Dial-Up triggern (f=FCr allerdings
>>erfolglose FIN-Pakete). Daf=FCr gibt's auch noch=20
>
>Ups, mein Bekannter (fuer den ich den Rechner jetzt aufbaue) hat sicher nur
>eine dynamische IP. Bei mir ist das nicht so wild, ich hab eine statische,
>aber mein Gateway-Rechner ist noch ein paar Monate entfernt.
>
>Bei dyn. IP-Adresse muss man die Filterregeln immer nach der IP-Zuweisung
>ausfuehren, oder? Ich hab gelesen, dass man die irgendwie ins ppp-up Script
>einbauen soll.
Nein, Du kannst bei ipchains auch ein Device bestimmen, z.B.:
ipchains -I output -p tcp --destination-port netbios-ns -i ippp+ -j DENY
"ippp+" matcht alle ippp?, also ippp0, ippp1 etc...
Das ist doch viel besser (finde ich).
>Gibt es eine Moeglichkeit, FTP-Verbindungen immer zu schliessen? Oder ist
>das eine Sache der User-Sorgfalt? Serverseitig kann man doch sicher einen
>Timeout einstellen.
Dazu dient "reject-masq", welches bei "ip-down" f=FCr alle noch offenen
Connections einfach Blocker setzt. Die k=F6nnen dann einfach nicht mehr=
raus.
Man kann auch f=FCr die einzelnen Proxies (z.B. FTP) auch die Lebenszeit des
Masqueradings =E4ndern (default: 15 min - glaube ich), allerdings kann das
dann auch wieder =C4rger machen. "reject-masq" funktioniert bei mir ganz gut
(nach Installation war Ruhe im Karton bzw. DialTrigger...).
Peter