Firewall und ICQ

[S?]

Hallo,

ich habe in meinem Lancom 1821 eine Firewallregel die den Traffic von einem PC komplett blockt. Identifikation über MAC-Adresse, blockt allen Traffic über die Default-Route. Die Regel schalte ich per Cron zu bestimmten Zeiten ein und aus. Nun ist es aber so das ICQ trotzdem weiter funktioniert, auch wenn die Regel aktiv geschaltet wird. Erst wenn ICQ beendet, und danach neu gestartet wird greift die Regel. Normales Internet-Browsen wird sofort bei Aktivierung der Regel geblockt. Was mache ich falsch ??

Gruß, S?

[langewiesche]

bei icq bleibt die verbindung erhalten (tcp zum icq server) .... und die regel greift dann nicht. Beim surfen ... ist jede neue seite viele kleine anfragen und verbindengen ... nur wenn icq nicht mehr raus kommt (weil es geblockt ist) geht alles ueber die eine bestehende verbindung ueber den server. du musstes also die verbindung kurz kappen oder die tabelle der verbinden reseten. dann gehts ....
so ist es auch mit skype ... ich weiss nicht wie es mit anderen "chat" clients ist nur von den beiden kenne ich es ...
Die firewall greift ja nur auf neue Verbindungen und nicht auf bestehende. (so habe ich da gefuehl)

[ittk]

Hallo,

also ICQ macht eine TCP-Verbindung (netstat -n) dort ist es sehr schoen zu sehen zum ICQ-Server auf.

Diese ist fuer den eigentlichen Chat gedacht. Ferner sind dynamische Ports (die Range ist auch einstellbar) beim Datentransfer von noeten.

Ich habe die Erfahrung gemacht, dass wenn der ICQ-Rechern im LAN steht und die Zwangstrennung die Verbindung kappt dies meistens erst nach einem Anschreiben eines Chatpartners bemerkt wird und die Verbindung zum Server erst dann neu etabliert wird. Oder ein einfaches Offline / Online schalten hilft ebenfalls.

Aktivere mal den SNMP-senden modus fuer die Firewall --> Regeln Aktionen um die Aktionen der Firewall im LANMonitor zu beobachten und ob die Firewall uerberhaupt in diesem Fall zum Tragen kommt oder es schlichtweg ein ICQ Problem ist, dass nicht bemerkt wenn die Verbindung wegreißt durch welche Form auch immer (u.A. Zwangstrennung/aktiverte Firewall fuer Default-Route...)

[S?]

Das mit der Zwangstrennung kam mir auch schon in den Sinn. Aber ist es nicht so das dann alle Verbindungen gekappt werden ? Also auch die von anderen Clients ? Oder bezieht sich das nur auf die Verbindung des einen Clients ?

Gruß, S?

[backslash]

Hi langewiesche

Die firewall greift ja nur auf neue Verbindungen und nicht auf bestehende. (so habe ich da gefuehl)

das ist korrekt - was einmal erlaubt ist, bleibt erlaubt, auch wenn man die Regeln ändert. Würde man nach jeder Änderung der Regeln alle existierenden Verbindungen prüfen, dann würde das extrem lange dauern (man muß jede Verbindung gegen alle Regeln prüfen - das geht also mit N^2).

du musstes also die verbindung kurz kappen oder die tabelle der verbinden reseten. dann gehts ....

das ist aber sehr rabiat, nur um die ICQ-Session loszuwerden...

@S?

Aber ist es nicht so das dann alle Verbindungen gekappt werden ? Also auch die von anderen Clients ? Oder bezieht sich das nur auf die Verbindung des einen Clients ?

Das betrifft natürlich alle Clients - allein schon deshalb, weil du nach der Zwangstrennung eine neue IP-Adresse bekommst.

Da du den PC ja kennst, kannst du den Verbindung zum ICQ-Server auch gezielt aus der Verbindungsliste entfernen:

del /st/ip-/conn/<IP-Adresse des PC> * 6 * <ICQ-Port>

das geht auch per Cron-Job..

Gruß
Backslash

[langewiesche]

Verbindungsliste meinte ich mit

tabelle der verbinden reseten

sorry