Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 1654 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How do I filter Incoming connections on the ppp0?

Tmor
Hi, I have been trying to think of a way to make a rule that would drop inbound traffic on the ppp0 interface, but without dropping valid traffic.

My logs are full of connections from Bots that are looking for Edonkey and other services.  If I drop all traffic on the external dsl interface, my valid traffic would also be dropped or?

Thanks in advance.

Jan 20 12:14:22 none kernel: TCP Drop: IN=ppp0 OUT= MAC= SRC=172.184.3.9 DST=217.234.167.142 LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=32826 DF PROTO=TCP SPT=4085 DPT=4662 WINDOW=32767 RES=0x00 SYN URGP=0


This thread was automatically locked due to age.
Parents
  • 0
    Hiya Tmor,

    Well... The best way of doing it (from my point of view) is to add the ports you want to drop in a service group and filter on that...

    But you can also make a rule like this one:
    From Service To Action 
    Any Any External_Interface__ Drop 

    Just make sure it's allways the last rule then your allowed inbound connections are ok and the rest will just be dropped. (If you use DNAT to connect from outside to your internal servers the rule should even work even if it's not the last, since the target for the rules will not be your external interface anymore  [:)] )

    Anyways dropping all unknown traffic on the external interface isn't that great imho. You can't see if someone repeatetly tried to get access to your MySQL, internal DNS etc.
  • 0 in reply to Sterion
    thats what i am doing now, i get most of the hacks, however everynow and then a new service pops up.

    was just looking for an easier way   [;)] 

    as for your hack comment, i have a tap on the PPPoE interface and directly behind the firewall.  The IDS alerts me to those that actually get through.  Up until now, lots of attempts, but no inside attacks. guess that means my rules are ok and the ASL is working like its supposed to  [;)]
     
     [size="1"][ 20 January 2003, 15:53: Message edited by: Tmor ][/size]
Reply
  • 0 in reply to Sterion
    thats what i am doing now, i get most of the hacks, however everynow and then a new service pops up.

    was just looking for an easier way   [;)] 

    as for your hack comment, i have a tap on the PPPoE interface and directly behind the firewall.  The IDS alerts me to those that actually get through.  Up until now, lots of attempts, but no inside attacks. guess that means my rules are ok and the ASL is working like its supposed to  [;)]
     
     [size="1"][ 20 January 2003, 15:53: Message edited by: Tmor ][/size]
Children
No Data