Rechner für die kiddies sperren

[backslash]

Hi NAF NAF

Da ich immer wieder Probeleme mit ICQ hatte ( Sperre wurde aktiviert, Internet ging nicht mehr, aber bestehende ICQ Verbindungen blieben bestehen )

das ist klar... Bestehende Sessions werden nicht getrennt, wenn sich der Regelsatz der Firewall ändert - sie waren ja zum Beginn der Session erlaubt.

habe ich die funktion Verbindungstrennung aktiviert. Leider werden alle Verbindungen getrennt und nicht nur die Internetverbindung via Lancom zu dem entsprechenden Teilnehmer.

Woher sollte auch ein "do /other/manual-dialing/disconnect" auch wissen, daß du nur irgend einen User trennen willst. tss...

Da du ja weißt, wann die Regeln umgeschaltet werden, solltest du zu diesem Zeitpunkt halt keinen Download laufen haben... Oder du lebst halt damit, daß bestehende Sessions erhalten bleiben - schließlich kannst du den Kiddies auch pünktlich das ICQ manuell schließen, was erziehungstechnisch eh sinnvoller ist, als eine Sperre, die nur dazu animiert herauszufinden, wie sie umgangen werden kann...

Gruß
Backslash

[NAF NAF]

Woher sollte auch ein "do /other/manual-dialing/disconnect" auch wissen, daß du nur irgend einen User trennen willst. tss...

Weil der ungebildete User davon ausgeht das, wenn sich die Regel auf Moritz bezieht und Moritz über seinen MAC Adresse definiert wird sich vielleicht auch die Verbindungstrennung nur auf Moritz bezieht.

Anhand des nisherigen Fred konntest du ja sehen das mir die ganze Geschicht nicht gerade leicht von der Hand ging.

Aber wenn es ja sowelche wie mich nicht gäbe, hättet Ihr ja Langeweile

Da du ja weißt, wann die Regeln umgeschaltet werden, solltest du zu diesem Zeitpunkt halt keinen Download laufen haben...

Das Problem ist nicht, eine kurze Unterbrechung des Downloads, sondern die Tatsache das gar keine Verbindung mehr zustande kommt. Und dies nicht bezogen auf den gesperten Rechner sondern allgemein.

schließlich kannst du den Kiddies auch pünktlich das ICQ manuell schließen, was erziehungstechnisch eh sinnvoller ist, als eine Sperre, die nur dazu animiert herauszufinden, wie sie umgangen werden kann...

Natürlich darfst du zur Erziehung meiner Kinder eine Meinung haben... und ich eine andere. Wenn du Bock hast jeden Abend mit einem pubertierenden
14 Jährigen zu diskutieren ist das dein gutes Recht.
Ich brauche das nicht und die Regel das er zwischen 18:00 und 22:00 uhr mit dem Rechner chatten oder ins I-Net kann hat sich eigentlich bewährt.
Den Spruch "Kinder brauchen Regeln kenne ich". Den Spruch " Eltern brauchen jeden Abend Diskussionen" kenne ich nicht.

In sofern kann ich mit deinen Aussagen nicht viel anfangen und sie helfen mir auch nicht mein technisches Problem abzustellen.


Nix für ungut

[backslash]

Hi NAF NAF

Weil der ungebildete User davon ausgeht das, wenn sich die Regel auf Moritz bezieht und Moritz über seinen MAC Adresse definiert wird sich vielleicht auch die Verbindungstrennung nur auf Moritz bezieht.

also, das ist jetzt sehr weit hergeholt... Da es unter "manual-dialing" auch den Punkt "connect" gibt, ist der Bezug zu einer Gegenstelle geradezu offensicht (insbesonde allein durch den Menünamen "manual-dialing") - zu einer Firewallregel hingegen völlig aus der Luft gegriffen.

Ein Punkt um alle Verbindungen zu trennen, die zu von einer bestimmten Firewallregel aufgebaut wurden, wäre ja wohl im Firewall-Umfeld zu suchen und nicht unter "other"...

Das Problem ist nicht, eine kurze Unterbrechung des Downloads

Der Download wird nicht nur kurz unterbrochzen, sonder komplett abbrechen,
weil du beim Wiederaufbau der Internetverbindung eine neue IP-Adresse bekommt...

sondern die Tatsache das gar keine Verbindung mehr zustande kommt. Und dies nicht bezogen auf den gesperten Rechner sondern allgemein.

Das verweise ich mal in das Reich der Mythen und Legenden. Wieso sollte für andere als die gesperrten Rechner keine Verbindung mehr möglich sein?

In sofern kann ich mit deinen Aussagen nicht viel anfangen und sie helfen mir auch nicht mein technisches Problem abzustellen.

wieso hilft dir das nicht weiter? Einfach in der Crontabelle nach dem aktivieren der Sperrregel die Internet-Verbindung trennen über do /other/manual-dialing/disconnect bzw. sprachunabhängig do /4/1/2.

Gruß
Backslash

[NAF NAF]

Wenn du den Fred von Anfang an gelesen hast ist dir sicher aufgefallen das ich an den Befehlscode durch einen anderen Fred habe.
Was sich dahinter verbirgt war ( ist ) mir nicht direkt bewusst.
Es ging und dann war es gut so.
Soviel zu Erklärung des ungebildeten Users.
War keine Über oder Untertreibung meinerseits für dieses Themengebiet hier trifft das für mich zu. ( Ich weiß es wenigstens im Gegensatz zu vielen anderen ) Ist aber ausdrücklich nicht auf dich bezogen.

also, das ist jetzt sehr weit hergeholt... Da es unter "manual-dialing" auch den Punkt "connect" gibt, ist der Bezug zu einer Gegenstelle geradezu offensicht (insbesonde allein durch den Menünamen "manual-dialing") - zu einer Firewallregel hingegen völlig aus der Luft gegriffen.

Und hier denke ich das wir beide gepflegt aneinander vorbei reden.
Ich habe mit manual dialing oder ähnlichen Parametern noch keinen Kontakt gehabt. Wie gesagt habe ich den einzutragenden Befehlscode aus einem anderen Fred.

Das verweise ich mal in das Reich der Mythen und Legenden. Wieso sollte für andere als die gesperrten Rechner keine Verbindung mehr möglich sein?

Innerhalb der Regel ( Einstellung Aktionen )
gibt es die Möglichkeit unter sonstige Maßnahmen Verbindung trennen zu aktivieren. Das hatte ich getan. Ich habe dann den Lancom beobachtet und da war dann ständig "Arcor anwählen, abgebrochen, Arcor anwählen abgebrochen...

Parallel dazu konnte ich sehen wie immer wieder irgendwelche Verbindungsanfrgen an den Lancom gestellt wurden.

Ich könnte mir vorstellen das der Rechner ( ICQ )nach dem Trennen wieder eine Verbindung ausbauen will. Der Lancom erkennt dies und führt die programmierte Aktion aus "trennen".
Solange als dieser Rechner an ist und ICQ sich einwählen will wird die Verbindung immer wieder getrennt.

Wäre das eine mögliche Erklärung ?

Gruß
Christian

[backslash]

Hi NAF NAF

Ich könnte mir vorstellen das der Rechner ( ICQ )nach dem Trennen wieder eine Verbindung ausbauen will. Der Lancom erkennt dies und führt die programmierte Aktion aus "trennen".

Du hast in der FDirewallregel "Verbindung trennen" ausgewählt? Dann möchte ich auf den Hilfetext im LANconfig verweisen:

Die wirkungsvollste und heftigste Maßnahme besteht in der Verbindungstrennung. Sollte Ihr Provider Ihnen bei jeder Einwahl eine neue IP-Adresse zuweisen, so sind ihre Geräte nach der Trennung der Verbindung und der darauffolgenden Neueinwahl des Routers (für einen Angreifer aus dem Internet) nicht mehr unter der alten Adresse erreichbar.

Desweiteren möchte ich auch uf den letzten Satz der Hilfe verweisen, mit dem implizit von der Verwendung dieses Punktes abgeraten wird:
Vorsicht: Alle diese Gegenmaßnahmen können dazu missbraucht werden, einen Deny-of-Service-Angriff gegen ihren Router zu fahren

Die Richtige Aktion in der Sperrregel ist "zurückweisen", was du ja selbst am Anfang dieses Threads gesagt hast - und wer bitte schön kommt auf die Idee, daß du zwischenzeitlich die Regel änderst:

Nochmal zu mitschreiben
FILTER-REGEL:
REGEL SPERRE_MORITZ
ALLGEMEIN -DIESE REGEL IST FÜR DIE FIREWALL AKTIV
AKTIONEN- SOFORT ZURÜCKWEISEN; SNMP
STATIONEN-Verbindung von folgenden Stationen "MAC Adresse 1234567"
DIENSTE - Diese Regel gilt für alle Dienste

Die nötige Verbindungstrennung um die ICQ-Session zu schließen erfolgt, wie das Umschalten der Regeln, über einen Eintrag in der Cron-Tabelle

Gruß
Backslash

[Jirka]

Hallo Christian,

Innerhalb der Regel ( Einstellung Aktionen )
gibt es die Möglichkeit unter sonstige Maßnahmen Verbindung trennen zu aktivieren. Das hatte ich getan. Ich habe dann den Lancom beobachtet und da war dann ständig "Arcor anwählen, abgebrochen, Arcor anwählen abgebrochen...

Parallel dazu konnte ich sehen wie immer wieder irgendwelche Verbindungsanfrgen an den Lancom gestellt wurden.

Ich könnte mir vorstellen das der Rechner ( ICQ )nach dem Trennen wieder eine Verbindung ausbauen will. Der Lancom erkennt dies und führt die programmierte Aktion aus "trennen".
Solange als dieser Rechner an ist und ICQ sich einwählen will wird die Verbindung immer wieder getrennt.

Wäre das eine mögliche Erklärung ?

Ja, das ist die Erklärung.

Was verwendest Du überhaupt für einen LANCOM-Router? Ich meine da hast Du noch gar kein Wort drüber verloren, soweit ich das überblicke. Und wie ist der Rechner von Moritz angebunden? Per LAN direkt im LANCOM? Per WLAN? Per WLAN mit eigener SSID?

Es gibt nämlich noch viele andere Möglichkeiten, dieses Problem zu lösen. So könnte man einen LAN-Port z. B. stilllegen. Aber dazu muss man einfach mehr wissen.

Viele Grüße,
Jirka

[NAF NAF]

Hi,
sorry aber die Type es Routers hatte ich tatsächlich nocht nicht erwähnt.
Also 1611+
Und der Sohnemann ist per Kabel versorgt.
Sichrlich könnte man nun die Leitung auf einen Port legen und dann diesen stillsetzen. Gerade an dieser Leitung hängt aber noch ein Switch mit einer Netzwerkcam ( seit heute, deswegen auch ein neuer Fred ) daher ist komplett stillsetzen nicht die Lösung.

@Jirka
Übrigens vielen Dank mit dem QoS Tip. habe ich ebenfalls heute mal probiert und sofort kam ein aufgeregter Teenager in mein Büro und beschwerte sich sein Verbindung wäre total Sch...
Da habe ich die Einstellungen wohl zu hart gemacht und muss ich erst langsam rantasten.

[Pumpelhuber]

Ähm ... ich hab nichts Wichtiges beizutragen, nur einen Hinweis zu dem XP-Problem, wo der Rechner bis auf ICQ nicht mehr sauber aufbaut.
Hier greift warscheinlich der DNS-Client vom Windoofs in's leere.
Das testet man aus cmd mit ipconfig/flushdns - und dann noch mal den Browser öffnen ....

Ansonsten macht das wirklich Spass den ganzen Tread zu lesen, hab fast tränen in den Augen ....

[NAF NAF]

Na, aber hoffentlich vor Freude.
Zumindest hat der FRed dann einen gewissen Unterhaltungswert
Oder wie darf ich das verstehen?
Gruß
Christian

[Pumpelhuber]

Sicherlich vor Freude, hier kann ich lesen, dass unsereiners Job auch fröhliche Seiten hat. Und leider viel zu selten, wird trockener Code auch erzieherisch verwendet ...... *lach*

[NAF NAF]

OT
Und dann abends die Diskusionen über eine halbstündige Verlängerung weil es ja gerade so gut läuft in der Schule. ( Die müssen das Notesystem rumgedreht haben )
Naja , wird schon werden
Wenigsten einer der sich hier freut lach
Gruß
Christian