Das Beispiel beschreibt wie Netbios Pakete unterbunden werden koennen.
Um überhaupt zu erkennen, was gefiltert werden muß, kann
man das Shell-Kommado
"debug t all" auf der BRICK verwenden. Mit dem Kommando kann man sehr
schnell
erkennen, was zu einem Verbindungsaufbau führt.
Die Konfiguration der ACCESS-Lsiten, wird mit dem Setup-Tool erklärt.
Bei den ACCESS-Listen ist es möglich, bis auf Portebene das IP
Paket zu filtern!
Die Portnummeren sind unter FAQ:" Category: BRICK/IP IP Subnetting"
zu finden.
Setup --> IP --> Access Lists
BIANCA/BRICK-XM Setup Tool
BinTec Communications GmbH
[IP][ACCESS][FILTER][EDIT]: Configure IP Access Filter
brick
_______________________________________________________________________________
Description
netbios-filter
Index
1
Protocol udp
Source Address
Source Mask
Source Port
any
Destination Address
199.199.199.255
Destination Mask
255.255.255.255
Destination Port
specify range
Specify Port
137 to Port 138
SAVE
CANCEL
_______________________________________________________________________________
Enter string, max length = 48 chars
WICHTIG!! Vor dem Abspeichern der ACCESS Listen muß noch ein ALLOW-ANY
Filter eingetragen werden. Es besteht sonnst die Möglichkeit, seinen
eigenen momentanen
Zugang (z.B. telnet) zu sperren!
Falls kein explizierter ALLOW ANY Filter folgt, wird ein DENY ANY Filter
automatisch am Ende der ACCESS Liste eingefügt. Somit kann man die
Logik der ACCESS Liste beeinflussen, prinzipiell ist bei den BRICK's alles
freigeschaltet.
--> ADD
BIANCA/BRICK-XM Setup Tool
BinTec Communications GmbH
[IP][ACCESS][FILTER][EDIT]: Configure IP Access Filter
brick
_______________________________________________________________________________
Description
allow-any
Index
2
Protocol any
Source Address
Source Mask
Source Port
any
Destination Address
Destination Mask
Destination Port
any
SAVE
CANCEL
_______________________________________________________________________________
Enter string, max length = 48 chars
BIANCA/BRICK-XM Setup Tool
BinTec Communications GmbH
[IP][ACCESS][FILTER]: Configure IP Access Filter
brick
_______________________________________________________________________________
Abbreviations: sa (source IP address)
sp (source port)
da (destination IP address) dp (destination port)
Index Descr
Conditions
1 netbios-filter da 199.199.199.255/32,
dp 137-138
2 allow-any
ADD DELETE EXIT
______________________________________________________________________________
Press <Ctrl-n>, <Ctrl-p> to scroll, <Space> tag/untag DELETE,
<Return> to edit
Der nächste Schritt ist, die Filter nun durch Regeln verkettet.
Innerhalb der Regeln werden nun Aktionen definiert, wie der Filter behandelt
werden soll.
Es gibt insgesamt fünf mögliche Aktionen:
O allow M ? erlaube wenn
Filter machted
O allow !M ? erlaube wenn Filter nicht
mached
O deny M ?
verbiete wenn Filter machted
O deny !M ? verbiete
wenn filter nicht machted
O ignore ? ignoriere
die Aktion
BIANCA/BRICK-XM Setup Tool
BinTec Communications GmbH
[IP][ACCESS][RULE]: Configure IP Access Rules
brick
_______________________________________________________________________________
Abbreviations: RI (Rule Index)
M (Action if filter matches)
FI (Filter Index) !M (Action if filter does not
match)
NRI (Next Rule Index)
RI FI NRI Action Filter
Conditions
1 1 2
deny M netbios-fi udp, da 199.199.199.255/32, dp 137-138
2 2 0
allow M allow-any
ADD
DELETE REORG
EXIT
_______________________________________________________________________________
Press <Ctrl-n>, <Ctrl-p> to scroll, <Space> tag/untag DELETE,
<Return> to edit
BIANCA/BRICK-XM Setup Tool
BinTec Communications GmbH
[IP][ACCESS][INTERFACES]: Configure First Rules
brick
_______________________________________________________________________________
Configure first rules for interfaces
Interface First Rule
First Filter
dialup6 0
(no access rules)
en1
1
1 (netbios-filter)
en1-snap 0
(no access rules)
EXIT
______________________________________________________________________________
Press <Ctrl-n>, <Ctrl-p> to scroll, <Return> to edit/select
Zu Beachten wäre noch, daß die erste Regel auf alle Interface
zutrifft. In unseren
konkreten Beispiel, soll verhindert werden, daß Netbios Pakete
zu einem Verbindungsaufbau
führen. Aus diesen Grund, muß die Accessliste auf
das LAN Interface "en1" gelegt werden.
Viel Erfolg!!!
Ihr BinTec-Support Team