Silverserver DSL-Anschluss und Firewall

Fragen rund um die Themen Netzwerk und Technik, die keinem Betriebssystem zuzuordnen sind. Beiträge rund um Hardware gehören auch hier rein (ausser bei Treiber-Fragen, diese dann im jeweiligen Subforum des passenden Betriebssystemes stellen).

Silverserver DSL-Anschluss und Firewall

Beitragvon hesk » Sa 03 Mär, 2012 13:47

Hi,

ich habe einen Silverserver DSL Anschluss mit /30 Netz und hinter dem Modem (P.RG AV4202N) betreibe ich eine Soekris Net6501-70 unter FreeBSD 9.0 (i386). PF ist derzeit so konfiguriert, dass alle eingehenden Verbindungen blockiert und alle ausgehenden erlaubt sind. Die einzige Ausnahme ist ssh; Port 22 ist nur fuer eine handvoll IP-Adressen geoeffnet.

Nun kann ich folgendes beobachten: wenn ich von verschiedenen externen Hosts mit nmap einen Portscan auf die IP-Adresse des Routers mache, werden mir hunderte Ports als offen angezeigt, obwohl a) kein Programm dort lauscht und b) pflogd anzeigt, dass das Paket geblockt wurde.

- als block policy habe ich return und drop probiert
- das ganze habe ich auch mit Linux und iptables getestet
- wenn ich auf einen der als offen angezeigten Ports netcat lauschen lasse und von extern mit netcat verbinde, bekomme ich ein "connection refused"
- wenn ich es mit einem anderen Internet Anschluss probiere, werden mir nur die wirklich offen ports angezeigt, bei den restlichen liefert nmap filtered (block-policy=drop) bzw. closed (block-policy=return).
- ausserdem funktioniert die pf.conf bei meinem Rootserver wunschgemäß
- neben nmap habe ich auch eine portscan mit ShieldsUP! von grc.com durchgefuehrt.

Woran kann es also nun liegen, dass nur bei meinem Silverserver Anschluss geschlossene Ports als offen angezeigt werden? Mit tcpdump habe ich auch nichts besonderes herausgefunden.

Danke.

--
Herbert
hesk
Neu im Board
Neu im Board
 
Beiträge: 2
Registriert: Fr 02 Mär, 2012 13:18

Re: Silverserver DSL-Anschluss und Firewall

Beitragvon hesk » Sa 03 Mär, 2012 14:46

Achja, mir ist gerade aufgefallen, dass vier Ports (621, 623, 643 und 680) als STEALTH angezeigt werden. Auch wenn ich diese Ports oeffne und mit nc lausche, kommt nichts an meiner Soekris Box an. nc liefert connection timed-out und tcpdump zeigt nichts an. In der selben Regel habe ich auch einen anderen Port (23) eingetragen und der geht durch.

Und wieso liefert traceroute 2x die IP-Adresse meines Routers?

Wird man bei Sil auch nur noch verarscht? Sie behaupten wiederholt, dass sie alles durchlassen und "es wird allein von Ihrem Server bestimmt, welche Ports offen sind und welche geschlossen sind. Wir haben darauf keinen Einfluss."
hesk
Neu im Board
Neu im Board
 
Beiträge: 2
Registriert: Fr 02 Mär, 2012 13:18

Re: Silverserver DSL-Anschluss und Firewall

Beitragvon zid » Sa 03 Mär, 2012 15:47

hallo herbert,

das ist ein special vom pire, das von jutta entdeckt wurde:
wenn du mit nmap auf wenige ports (10 oder 20) losgehst ist alles im grünen bereich. gehst mit nmap jedoch auf 1000, 2000... ports los, dann steigt der unterhaltungswert enorm an. das pire kann die tcp-flags nicht halten, neue pakete werden in "eigenregie" generiert usw. du kannst dieses desaster selbst ganz einfach verifizieren, indem du an beiden enden simultan mitsniffst. ich würde dir aber dringend empfehlen, dich vor diesem test festzuschnallen und vielleicht noch sicherheitshalber ein paar härtere safterl zu konsumieren, sonst hauts dich echt vom hocker... :D

>"...bekomme ich ein "connection refused"..."
jo eh. nur macht das pire aus einem rst-ack (=closed) ein syn-ack (=open) z.b., deshalb eben die vielen "offenen" ports. diese blöden, blöden tcp-flags, za wos brauch ma die überhaupt? ^^

sicherheitsrelevant ist dieses chaos fĂĽr dich nicht wirklich, da du eh ein geroutetes /30er netz hast und der pf vom feinsten rockt.

lg
zid
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Re: Silverserver DSL-Anschluss und Firewall

Beitragvon zapata » Di 13 Mär, 2012 18:42

Hi Zid,

danke, das war's.
Sil hat die Modemkonfiguration angepasst und jetzt sieht (fast) alles OK aus; vier Ports im 600'er Bereich werden weiterhin gefiltert. Damit kann ich mal leben. :)

lg
Herbert
zapata
Neu im Board
Neu im Board
 
Beiträge: 15
Registriert: Fr 01 Jun, 2007 15:56

Re: Silverserver DSL-Anschluss und Firewall

Beitragvon zid » Di 13 Mär, 2012 20:40

oh, das alter ego is da... :)

hallo herbert,

wieso *Modemkonfiguration angepaĂźt*? *kopfkratz*
du kennst nicht zufällig details dazu?
ich hatte bei meinem test:

- die fw. der telekom und nicht jene von sil.

- der zielrechner war als default server gesetzt, also nat.

- firewall protection war off.

sieht stark nach einer versuchswiederholung aus, hm. jetzt hab ich auch auf einen mono-link ein geroutetes netz...

lg
zid
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Re: Silverserver DSL-Anschluss und Firewall

Beitragvon zapata » Do 22 Mär, 2012 00:25

Hi,

ich habe leider keinen Zugriff auf das Modem.

Der Support von Sil hat mir folgendes geschrieben:

die Firewallkonfiguration am Modem wurde korrigiert.
Von unserer Seite sind nun alle Ports auf xxx..xxx.xxx.xx 'closed'.

--
Herbert
zapata
Neu im Board
Neu im Board
 
Beiträge: 15
Registriert: Fr 01 Jun, 2007 15:56


ZurĂĽck zu TECHNIK, NETZWERK & HARDWARE

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 30 Gäste