Windows Anfragen des NetBIOS Protokolls unterbinden

Da sich im LAN u.a. Windows-Rechner befinden, haben diese die Angewohnheit, bei bestimmen Aktivitäten scheinbar ohne Grund eine Verbindung nach „außen“ aufbauen zu wollen. Dies kann passieren wenn z.B. die Netzwerkumgebung geöffnet wird oder ein Windows-Rechner gerade hochfährt.
Das liegt daran, daß Windows z.B. beim Öffnen der Netzwerkumgebung Nachrichten über das NetBIOS (Network Basic Input/Output System) Protokoll sendet. Um das zu unterbinden wird die Kommunikation zu den entsprechenden Ports auf dem Router mit Hilfe von IP-Chains (Bestandteil der Firewall) untersagt.
Dazu werden die Port Nummern des NetBIOS Services benötigt. Diese stehen in der Datei /etc/services:

netbios-ns      137/tcp                         # NETBIOS Name Service
netbios-ns      137/udp
netbios-dgm     138/tcp                         # NETBIOS Datagram Service
netbios-dgm     138/udp
netbios-ssn     139/tcp                         # NETBIOS session service
netbios-ssn     139/udp

Die Kommunikation mit den Ports 137 bis 139 soll nun untersagt werden. Dazu wird in /etc die Datei ipchains.rules mit dem folgendem Inhalt angelegt:

-I input -s 192.168.1.32/27 137:139 -d 0.0.0.0/0 53 -p tcp -j DENY
-I input -s 192.168.1.32/27 137:139 -d 0.0.0.0/0 53 -p udp -j DENY

Hiermit werden NetBIOS Anfragen (Port 137 bis 139) vom lokalen Netz (Source 192.168.1.32/27) aus nach überall hin (Destination 0.0.0.0/0) auf den Nameserver Port (53) mit dem TCP und UDP Protokoll untersagt (-j DENY).

Jetzt müssen diese Einstellungen bei jedem Systemstart geladen werden. Dazu legen wir in /sbin/init.d ein Skript namens packetfilter mit folgendem Inhalt an:

#! /bin/sh
# Script to control packet filtering.
# If no rules, do nothing.
[ -f /etc/ipchains.rules ] || exit 0
case "$1" in
    start)
        echo -n "Turning on packet filtering:"
        /sbin/ipchains-restore < /etc/ipchains.rules || exit 1
       echo "."
        ;;
    stop)
        echo -n "Turning off packet filtering:"
        /sbin/ipchains -F input
        /sbin/ipchains -P input ACCEPT
        echo "."
        ;;
    *)
        echo "Usage: /etc/init.d/packetfilter {start|stop}"
        exit 1
        ;;
esac
exit 0

Das Skript muß auf  „ausführbar“ gesetzt werden.

chmod u+x /sbin/init.d/packetfilter

Jetzt legen Sie im Verzeichnis /sbin/init.d/rc2.d zwei Links an:

cd /sbin/init.d/rc2.d
ln –s ../packetfilter S06packetfilter
ln –s ../packetfilter K39packetfilter

Jetzt wird der Paket-Filter automatisch gestartet bzw. gestoppt, je nach dem, in welchen Runlevel Sie sich gerade befinden bzw. in welchen Runlevel Sie wechseln . Bei Systemstart wird Runlevel 2 bzw. 3 geladen, d.h. der Paket-Filter wird automatisch geladen. Um den Filter jetzt zu aktivieren, geben Sie jetzt folgendes ein:

/sbin/init.d/packetfilter start

Jetzt klicken Sie auf dem Windows-Rechner auf die Netzwerkumgebung und es dürften in /var/log/messages keine neuen Anwahlversuche zu sehen sein.

Weiter zum Abschnitt:
Konfiguration der Firewall