xDSL.at

[hesk]

Hi,

ich habe einen Silverserver DSL Anschluss mit /30 Netz und hinter dem Modem (P.RG AV4202N) betreibe ich eine Soekris Net6501-70 unter FreeBSD 9.0 (i386). PF ist derzeit so konfiguriert, dass alle eingehenden Verbindungen blockiert und alle ausgehenden erlaubt sind. Die einzige Ausnahme ist ssh; Port 22 ist nur fuer eine handvoll IP-Adressen geoeffnet.

Nun kann ich folgendes beobachten: wenn ich von verschiedenen externen Hosts mit nmap einen Portscan auf die IP-Adresse des Routers mache, werden mir hunderte Ports als offen angezeigt, obwohl a) kein Programm dort lauscht und b) pflogd anzeigt, dass das Paket geblockt wurde.

- als block policy habe ich return und drop probiert
- das ganze habe ich auch mit Linux und iptables getestet
- wenn ich auf einen der als offen angezeigten Ports netcat lauschen lasse und von extern mit netcat verbinde, bekomme ich ein "connection refused"
- wenn ich es mit einem anderen Internet Anschluss probiere, werden mir nur die wirklich offen ports angezeigt, bei den restlichen liefert nmap filtered (block-policy=drop) bzw. closed (block-policy=return).
- ausserdem funktioniert die pf.conf bei meinem Rootserver wunschgemäß
- neben nmap habe ich auch eine portscan mit ShieldsUP! von grc.com durchgefuehrt.

Woran kann es also nun liegen, dass nur bei meinem Silverserver Anschluss geschlossene Ports als offen angezeigt werden? Mit tcpdump habe ich auch nichts besonderes herausgefunden.

Danke.

--
Herbert

[hesk]

Achja, mir ist gerade aufgefallen, dass vier Ports (621, 623, 643 und 680) als STEALTH angezeigt werden. Auch wenn ich diese Ports oeffne und mit nc lausche, kommt nichts an meiner Soekris Box an. nc liefert connection timed-out und tcpdump zeigt nichts an. In der selben Regel habe ich auch einen anderen Port (23) eingetragen und der geht durch.

Und wieso liefert traceroute 2x die IP-Adresse meines Routers?

Wird man bei Sil auch nur noch verarscht? Sie behaupten wiederholt, dass sie alles durchlassen und "es wird allein von Ihrem Server bestimmt, welche Ports offen sind und welche geschlossen sind. Wir haben darauf keinen Einfluss."

[zid]

hallo herbert,

das ist ein special vom pire, das von jutta entdeckt wurde:
wenn du mit nmap auf wenige ports (10 oder 20) losgehst ist alles im grünen bereich. gehst mit nmap jedoch auf 1000, 2000... ports los, dann steigt der unterhaltungswert enorm an. das pire kann die tcp-flags nicht halten, neue pakete werden in "eigenregie" generiert usw. du kannst dieses desaster selbst ganz einfach verifizieren, indem du an beiden enden simultan mitsniffst. ich würde dir aber dringend empfehlen, dich vor diesem test festzuschnallen und vielleicht noch sicherheitshalber ein paar härtere safterl zu konsumieren, sonst hauts dich echt vom hocker...

>"...bekomme ich ein "connection refused"..."
jo eh. nur macht das pire aus einem rst-ack (=closed) ein syn-ack (=open) z.b., deshalb eben die vielen "offenen" ports. diese blöden, blöden tcp-flags, za wos brauch ma die überhaupt?

sicherheitsrelevant ist dieses chaos für dich nicht wirklich, da du eh ein geroutetes /30er netz hast und der pf vom feinsten rockt.

lg
zid

[zapata]

Hi Zid,

danke, das war's.
Sil hat die Modemkonfiguration angepasst und jetzt sieht (fast) alles OK aus; vier Ports im 600'er Bereich werden weiterhin gefiltert. Damit kann ich mal leben.

lg
Herbert

[zid]

oh, das alter ego is da...

hallo herbert,

wieso *Modemkonfiguration angepaßt*? *kopfkratz*
du kennst nicht zufällig details dazu?
ich hatte bei meinem test:

- die fw. der telekom und nicht jene von sil.

- der zielrechner war als default server gesetzt, also nat.

- firewall protection war off.

sieht stark nach einer versuchswiederholung aus, hm. jetzt hab ich auch auf einen mono-link ein geroutetes netz...

lg
zid

[zapata]

Hi,

ich habe leider keinen Zugriff auf das Modem.

Der Support von Sil hat mir folgendes geschrieben:

die Firewallkonfiguration am Modem wurde korrigiert.
Von unserer Seite sind nun alle Ports auf xxx..xxx.xxx.xx 'closed'.

--
Herbert