xDSL.at

[[KB]Flipper]

Hi!
Ich hab an meinem Rechner (Debian3.0) noch einen weitern (Windows98)-Client. Auf dem Debian-Rechner hab ich jetzt masquerading mit IP-Tables eingerichtet und bin mal nur froh dass alles funktioniert
Jetzt kommt allerdings der nächste Punkt, die Sicherheit. Ich nehm mal an meine derzeitge Lösung hat mehr Löcher als ein Fischernetz.
Hier mal die aktuelle Einstellung:
_______________________________________________
flipper:/home/flipper# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
block all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
block all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- anywhere anywhere tcp spt:3000
ACCEPT tcp -- anywhere flipper tcp spt:3000

Chain block (2 references)
target prot opt source destination
ACCEPT all -- 192.168.0.0/24 anywhere
ACCEPT all -- anywhere 192.168.0.0/24
ACCEPT all -- anywhere 10.0.0.0/24
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere
DROP all -- anywhere anywhere

_______________________________________________
flipper:/home/flipper# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere !192.168.0.0/24

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
_______________________________________________

Also, folgendes will ich machen:
Natürlich Masquerading zum anderen PC.
funktionieren sollen folgende Dienste: IRC, (L)ICQ, FTP-Client, surfen, Apache Webserver;
SWAT (port 901)und ntop (port 3000): nur für lokalen Rechner. (auch nicht für den anderen W98-Client).
Ich hab das selbst probiert zum einstellen, bin jedoch schon an Port 3000 gescheitert

Soda, das wärs vorerst.. thx schon mal für eure Hilfe, mit Links bin ich natürlich auch sehr zufrieden
mfg
[KB]Flipper

[Flanders]

<HTML>Es gibt wirklich sehr gute HowTo's und Beispiele im Netz, wirf mal gooogle an
<http://www.linuxguruz.org/iptables>

Zuerst setzt mal die Input und Forward Chain Policy auf Drop
Die Output Chain lass ma mal auf Accept

Dann erlaubst du alle Pakete, die einer Verbindung angehören bzw. in "Verbindung" damit stehen:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FOWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Dann Port 80 oder sonst welche für Apache offenlassen
iptables -A INPUT -i ppp0 -p TCP --sport 1024:65535 --dport 80 -d $EXTERNAL_IP -j ACCEPT

Und dann masquerading aktivieren
iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE


Das ist nur ein einfaches Beispiel, bietet jedoch schon einen guten Schutz.
Auf <http://grc.com> kannst mal die gängigsten Ports scannen lassen (Shields up)</HTML>

[[KB]Flipper]

thx. (für die Beispiele)
bei linuxguruz war ich schon, hab aber lt. diesem howto nicht geschafft, den 3000er-port nur bei localhost zuzulassen. Aber ich werd mich nochmal drüberstürzen
mfg
[KB]Flipper

[Flanders]

Du willst also den Port 3000 auf Deinem Rechner offenhalten?
Das müßte folgendermaßen funktionieren:
iptables -A INPUT -i ppp0 --dport 3000 -d $EXTERNAL_IP -j ACCEPT

Wenn Du masquerading machst, mußt du das selbe für die Forward chain machen.

[Tom]

vorsicht! wenn du auf dem lokalen rechner port 3000 offen lassen willst und die OUTPUT.-Chain auf dropping gesetzt hast musst du auch dort ne rule setzen!!


iptables -A OUTPUT -o ppp0 -s (deine ip)/subnet -d 0/0 -p tcp (udp) --sport 3000 -j ACCEPT


die optionen --sport / --dport kannst du nur setzen wenn du vorher das protokoll im osi-layer 4 angegeben hast, tcp udp usw...


greetings
Tom

[[KB]Flipper]

<HTML>aah! im output-chain auch noch.. mit -o ppp0, danke, werd ich mal probieren..

Äh Frage: Wie is des, wenn ich also Port 3000 nach aussen hin gesperrt habe:
Wenn ich http://localhost:3000 eingebe und es geht ntop zum ansehen. Muss dann, wenn ich http://*ppp-IP*:3000 (also zB http://62.3.68.204:3000) eingebe, der Zugriff verweigert werden?
@Flanders: hab den Link aus deinem Posting übersehn, beim 2. Mal lesen hab ich's dann geschnallt danke! (der port-scan)
Seh ich das richtig, wenn der ausgibt dass bestimmte Ports zwar offen wären der PC aber zZ keine Verbindungen zulässt, dann sehen die 1337 h4x0rz beim Portscannen also diese Ports, können allerdings nichts machen?
So, werd jetzt mal Port 139 deaktivieren gehen und schaun was passiert
mfg
[KB]Flipper</HTML>

[Flanders]

>Muss dann, wenn ich http://*ppp-IP*:3000 (also zB http://62.3.68.204:3000) eingebe, der Zugriff verweigert werden?
Ja, dann kannst zumindest keine Verbindung aufbauen, ab ich dachte du wolltest Port 3000 offenlassen?

Wenn der Port nicht "stealth", sondern nur "closed" ist, kann man meiner Information zufolge doch was am System manipulieren.
Wenn du die Regel wie in meinem ersten Posting beschrieben eingibst, müssten alle Ports "stealth" sein.

Und für die Output chain musst du nur dann eine Regel definieren, wennst die Policy auf DROP gesetzt hast.

[[KB]Flipper]

<HTML>wenn ich
flipper:/# iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables: No chain/target/match by that name
Ich hab jetzt alle Ports gesperrt (die lt. dem shields-port zwar closed aber nicht stealth waren)
netbios hab ich gesperrt, für was ist das gut eigentlich? Windows-Freigaben? (hab Samba-Server laufen)
Ach ja, und er regt sich über den offenen 80er-Port von Apache auf. Ist das wirklich irgendwie gefährlich oder kann ich das mit ruhigem Gewissen offen haben? Ich hab nur eine kleine Seite bzw. Verlinkung oben, es wär also nicht wirklich ein Problem den Apache-Server abzudrehen. Aber wenn ich schon einen installiert hab und er problemlos und ungefährlich läuft - wieso nicht?
mfg
[KB]Flipper
ps: nochmal danke @ tom, das -o war die Ursache wieso's vorher nicht geklappt hat </HTML>

[Flanders]

>flipper:/# iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
Es soll auch heißen iptables -A INPUT -m state --state <b>ESTABLISHED,RELATED</b> -j ACCEPT

Netbios ist für Windows Freigaben, wennst ein Netzwerk hast soll der offen sein sonst kannst nicht auf die Dateien anderer Rechner zugreifen.

Und das mit dem offenen Port 80, gefährlich ists schon, aber genauer weiß ich da auch nicht Bescheid.

[[KB]Flipper]

Hm also ich glaub solang ich Apache regelmässig update bzw. nicht zuviel Rechte auf den Ordnern der HP vergebe sollte es gehen.
Die Fehlermeldung kommt allerdings auch wenn ich den Befehl so wie du ihn geschrieben hast eingebe.. ich hab da viele Varianten durchprobiert.
@netbios: Passt, dann hab ich jetzt die Freigaben so konfiguriert dass der 139er-Port von aussen nicht sichtbar ist, der andere client aber Zugriff hat *freu*
mfg
[KB]Flipper

[PoLyKaRp]

>Netbios ist für Windows Freigaben, wennst ein Netzwerk hast soll der offen sein sonst kannst nicht auf die Dateien anderer Rechner zugreifen.
meine Meinung - trotzdem zulassen... oder starkes passwort
es gibt ja zB FTP server über die man dateien schicken und empfangen kann wozu braucht man da netbios... einziger vorteil: es ist bequemer (und langsamer als ein ftp

[Tom]

aber ich würd netbios trotzdem in der forward-chain sperren!! angeblich ist es nicht routing-fähig, aber es gibt da glaub i netbios over ip und dann könnt das vielleicht gehen, drum sperr es (port 137-139) *lol*

info über known services findest du in /etc/services


@polykarp
unter windows kannst du remote netbios freigaben auch als lokale laufwerke ansprechen, was manchmal von vorteil sein kann!! ausserdem ist es die standard file-sharing implementierung von windows
aber ftp hat auch seine vorteile!!

greetings
tom

[PoLyKaRp]

<HTML>@Tom
>@polykarp
>unter windows kannst du remote netbios freigaben auch als lokale laufwerke >ansprechen, was manchmal von vorteil sein kann!! ausserdem ist es die >standard file-sharing implementierung von windows
>aber ftp hat auch seine vorteile!!
weiß ich, weiß ich!
aber wie du selbst sagst, per standard gibt es sämtliche lokale laufwerke für JEDEN und PASSWORTLOS frei!! und so einem 'service' trau ich mal von beginn an nicht über den weg!
beim ftp server kann ich mir sicher sein, es kommt nur der rein der authorisiert ist (well, zumindest 99.9% - bugtraq -> guildftp 0.993, nur ein bug, der den server (manchmal) zum absturz bringt... aber nix was wirklich ein problem sein könnte)
und außerdem kann ich konfigurieren wo der dazudarf und was er mit welchen files/direcs machen darf!!

ich jedenfalls würde netbios auf meinem computer nur mehr zulassen wenn das netzwerk in dem der computer steht nicht im internet ist, und jede der personen im netzwerk jemand ist, dem ich entweder 100% trauen kann, oder von dem ich nicht zu erwarten habe, dass er mir meine daten stiehlt oder meine festplatte ruiniert oder ...

>info über known services findest du in /etc/services
gibts auch unter windows... nennt sich glaub ich ports.txt oder port.txt oder so... find's aber nicht mehr in meinem 2k... (habs aber noch von einem .. ME glaub i .. auf der platte liegen!)

pEaCe PoLyKaRp</HTML>

[Tom]

hmm smb wird in den windows versionen 9x nicht passwort geschützt, aber mit nem registry schmäh gehts schon *g*
winnt und 2k sichern die smb-shares mit passwörtern ab, kA obs verschlüsselt wird oder obs nur plaintext ist
aber du kannst genau wie bei ftp einzelne laufwerke oder verzeichnisse freigeben, drucker usw,...
sperren solltest das forwarden aufs ppp0 interface