Isdn- Verbindung überwachen?

franki · Beitrag von **franki** » 24.11.2003 13:09:47

Hi,

ich gehe per [woody,i4l] ins Netz.

Wenn ich eine Verbindung ergestellt habe werden zB. Mails und News geholt, manchmal bleibt die Leitungg alerdings noch eine ganze Weile offen und ich weis nicht gnau waarum ,deshalb suche ich eine Möglichkeit den Datenverkehr in diesen Situationen zu überprüfen.

Als Ergebnis stelle ich mir vor zu wissen von Wo die Aktion ausgeht, von mir oder von einem anderen Rechner, über welche Ports der ganze Spaß abläuft und welches Programm/dienst auf meiner Seite dafür verantwortlich ist.

Im Momnet zum Beispiel hab ich ständig Traffic und weis nicht genau durch was oder wen es verursacht wird.

Um mal einen Anfang zu machen hänge ich gleich mal route ifconfig und einen kleinen Ausschnitt von tcpdump an. Ich hoffe das ist der richtige Ansatz und ihr könnt mir helfen mein Problem in den griff zu kriegen.

route

Code: Alles auswählen

Kernel IP Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
10.0.0.2        *               255.255.255.255 UH    0      0        0 ippp0
srv3.bkrz.media *               255.255.255.255 UH    0      0        0 ippp1
default         *               0.0.0.0         U     0      0        0 ippp1

ifconfig

Code: Alles auswählen

ippp0     Protokoll:Punkt-zu-Punkt Verbindung  
          inet Adresse:10.0.0.1  P-z-P:10.0.0.2  Maske:255.255.255.255
          UP PUNKTZUPUNKT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:30 
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

ippp1     Protokoll:Punkt-zu-Punkt Verbindung  
          inet Adresse:172.182.247.95  P-z-P:62.52.51.136  Maske:255.255.255.255
          UP PUNKTZUPUNKT RUNNING NOARP  MTU:1400  Metric:1
          RX packets:66506 errors:0 dropped:0 overruns:0 frame:0
          TX packets:66879 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:30 
          RX bytes:12692319 (12.1 MiB)  TX bytes:3602519 (3.4 MiB)

lo        Protokoll:Lokale Schleife  
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:4315 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4315 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0 
          RX bytes:1292059 (1.2 MiB)  TX bytes:1292059 (1.2 MiB)

tcpdump -i ippp1

Code: Alles auswählen

13:04:19.839476 80.142.162.143.4551 > 172.182.247.95.4662: S 455892413:455892413(0) win 46500 <mss 1440,nop,wscale 0,nop,nop,sackOK> (DF)
13:04:19.839552 172.182.247.95.4662 > 80.142.162.143.4551: R 0:0(0) ack 455892414 win 0 (DF)
13:04:19.852959 217.228.168.170.2662 > 172.182.247.95.4662: S 37720913:37720913(0) win 32767 <mss 1452,nop,wscale 0,nop,nop,sackOK> (DF)
13:04:19.853001 172.182.247.95.4662 > 217.228.168.170.2662: R 0:0(0) ack 1 win 0 (DF)
13:04:20.082101 80.184.140.20.30000 > 172.182.247.95.4662: S 2745820639:2745820639(0) win 64240 <mss 1414,nop,nop,sackOK> (DF)
13:04:20.082240 172.182.247.95.4662 > 80.184.140.20.30000: R 0:0(0) ack 2745820640 win 0 (DF)
13:04:20.399977 217.80.3.41.1234 > 172.182.247.95.4662: S 3455472800:3455472800(0) win 16384 <mss 1440,nop,nop,sackOK> (DF)
13:04:20.400063 172.182.247.95.4662 > 217.80.3.41.1234: R 0:0(0) ack 1 win 0 (DF)
13:04:20.411202 213.23.254.118.3953 > 172.182.247.95.4662: S 697117419:697117419(0) win 65280 <mss 1360,nop,nop,sackOK> (DF)
13:04:20.411287 172.182.247.95.4662 > 213.23.254.118.3953: R 0:0(0) ack 697117420 win 0 (DF)
13:04:20.478465 217.228.168.170.2662 > 172.182.247.95.4662: S 37720913:37720913(0) win 32767 <mss 1452,nop,wscale 0,nop,nop,sackOK> (DF)
13:04:20.478534 172.182.247.95.4662 > 217.228.168.170.2662: R 0:0(0) ack 1 win 0 (DF)
13:04:20.576208 80.142.162.143.4551 > 172.182.247.95.4662: S 455892413:455892413(0) win 46500 <mss 1440,nop,wscale 0,nop,nop,sackOK> (DF)
13:04:20.576278 172.182.247.95.4662 > 80.142.162.143.4551: R 0:0(0) ack 1 win 0 (DF)
13:04:20.906840 217.88.220.86.4672 > 172.182.247.95.4672:  udp 18
13:04:20.907110 172.182.247.95 > 217.88.220.86: icmp: 172.182.247.95 udp port 4672 unreachable [tos 0xc0] 
13:04:20.945948 213.23.254.118.3953 > 172.182.247.95.4662: S 697117419:697117419(0) win 65280 <mss 1360,nop,nop,sackOK> (DF)
13:04:20.946020 172.182.247.95.4662 > 213.23.254.118.3953: R 0:0(0) ack 1 win 0 (DF)
13:04:21.044456 80.143.109.251.18147 > 172.182.247.95.4662: S 4224001637:4224001637(0) win 32767 <mss 1432,nop,wscale 0,nop,nop,sackOK> (DF)
13:04:21.044575 172.182.247.95.4662 > 80.143.109.251.18147: R 0:0(0) ack 4224001638 win 0 (DF)

Im voraus vielen Dank
Frank

Danke

Bert · Beitrag von **Bert** » 24.11.2003 13:21:49

Du versuchst DialOnDemand, wenn ich das richtig verstehe. Leider wirst Du damit durch die Tauschnetzwerke damit nicht mehr viel Glück haben (du erkennst die Packete unter anderem am Port 4662). Die Client sind leider so schlecht programmiert, daß sie die IP adresse von Tauschpartner für eine recht lange Zeit noch mit Packeten bombadieren, auch wenn sie von dort per RST geblockt werden. Wenn Du beim Einwähle eine IP bekommst, die vorher von einem Tauschclient benutzt wurde, dann geht das DialOnDemand leider nicht mehr.

Ausweg ist wohl ppp filtering. Ob das mit isdn geht und wie kann ich Dir aber auch nicht sagen. Aber vielleicht hilft Dir google weiter.

franki · Beitrag von **franki** » 25.11.2003 13:09:10

Ja mache dod und ist soweit auch in Ordnung, nur gelegentlich triggern mir diese Tauschanfragen die Leitung.

Was ist RST?

Mit ppp filtering meinst Du wohl iptables.

Wenn ja hab ich dazu eine Frage:

Hab mal so ein Miniskript aus dem HowTo:

Code: Alles auswählen

## neue Kette blck erstellen
iptables -N block

## neu Regeln für Kette block erstellen
## Blocke alle Verbindungen, es sei denn, sie kommen von innen
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i ! ippp+ -j ACCEPT
iptables -A block -j DROP


## von input und forward zur block-Kette springen
iptables -A INPUT -j block
iptables -A FORWARD -j block

Dabei scheint allerdings mein Problem nicht behoben, da die Anfragen hier immernoch aufschlagen ( auch wenn sie verworfen werden) und die Leitung somit weiterhin offengehalten wird.

Außerdem kann ich dann zB. mit Pan nicht mehr auf leafnode zugreifen.

Also kurzum: Wo klemmt's denn da?

Gruß Frank

Bert · Beitrag von **Bert** » 25.11.2003 13:32:05

Mit RST meinte ich die Beantwortung der SYN Packete (Verbinding öffnen) mit einem RST Packet (Connection close). Dies sind jeweils Bits im TCP Header.

Nein, mit ppp filtering meinte ich NICHT iptables. Wenn die Packete am Netfilter angekommen sind, dann ist es schon zu spät. Damit DOD bei Dir funktioniert, müssen die Packete verworfen werden, bevor der (i)pppd diese sieht. Dazu gibts das ppp filtering. Ist bei mir aber alles graue Theorie, hab ich selber noch nicht gemacht. Die entsprechende Kerneloption heißt CONFIG_PPP_FILTER. Keine Idee, ob das auch mit ISDN Funktioniert.

franki · Beitrag von **franki** » 25.11.2003 13:37:10

Da war ich wohl etwas voreilig:

franki hat geschrieben: ...
Außerdem kann ich dann zB. mit Pan nicht mehr auf leafnode zugreifen.
...

Ups jetzt geht's wieder, aber die Leitung wird immmernoch durch Anfragen an Port 4662 offengehalten.

Gruß Frank
-- der in Zukunft zweimal prüft und rebootet;-)

arzie · Beitrag von **arzie** » 25.11.2003 15:48:39

Das hier koennte funktionieren

http://groups.google.com/groups?selm=3F ... 8%40fto.de

arzie