ipchains frage

Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at verwendet.
Forumsregeln
Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at

ipchains frage

Beitragvon quay » Di 07 Aug, 2001 20:59

<HTML>hiho...

ich hab da mal eine ipchains frage :

also ich hab auf meinem linux server ipchains installiert, INPUT policy steht auf DENY und ich habe keine rule drin die den zugriff auf dport 21 erlauben wĂĽrde.
allerdings hab ich eine drin die alle connection attempts auf dport 21 mitloggt.
das sieht so aus :

ipchains -A ppp -s 0/0 -d 0/0 -p tcp --dport 21 -l

wobei ppp eine user-defined chain ist über die alles läuft was über meine eth0 kommt (adsl modem)

ich versteh das so : nachdem bei dieser rule kein TARGET angegeben ist - läuft es über die default input policy - sprich DENY---oder nicht ?

denn wenn ich von einem entfernten rechner auf port 21 ftp´e dann krieg ich das hier :


Trying xxx.xxx.xxx.xxx...
Connected to xxx.xxx.xxx.xxx.
Escape character is '^]'.

was ja eigentlich nicht sein sollte oder ? - denn eigentlich will ich hier ein timeout sehen...
und wenn in diesem fall nicht die input policy gilt - nach welchen regeln wird dann ein solcher connection attempt behandelt - wenn kein TARGET dasteht ?

denn auf meinem system läuft ein ftp server...der allerdings nur conn attempts von LAN rechnern akzeptiert (tcp-wrapper) - warum also hab ich bei dem obigen versuch kein "port closed" bekommen ?

und wenn ich das so mache dass ich meinen ganzen einkommenden internet verkehr ĂĽber eine user-defined chain umleite (in der ich dann alle dienste die ich nutzen will konfiguriere) fĂĽr die ich aber keine policy setzen kann (geht nicht bei user-defined chains) - wie werden dann pakete behandelt die keine der rules in meiner ppp chain matchen ?

jetzt bin ich irgendwie ein bissl verwirrt.......
vielleicht kann jemand licht ins dunkel bringen.....
</HTML>
quay
 

RE: ipchains frage

Beitragvon Tom » So 12 Aug, 2001 20:24

hi

hmm bin zurzeit mords im stress, fahrschule, arbeiten usw.
drum hab ich mir bis jetzt keine postings so richtig anschauen können,.....

also wenn bei dir die input policy auf DROP (iptables) / DENY gesetzt ist sollte jeglicher ankommende verkehr lahmgelegt werden
egal ob ppp0, eth0 usw.

>ich versteh das so : nachdem bei dieser rule kein TARGET angegeben ist - läuft es über die default input policy
hmm das kommt drauf an was sonst noch in der input-chain steht!

bzw. kommts darauf an welche packets du wohin umleitest (deine eigenen chains)
TCP, UDP, PINGS usw.
vielleicht ist dir in einer chain irgendwo ein kleiner fehler unterlaufen, das kann schnell passieren,...

>wie werden dann pakete behandelt die keine der rules in meiner ppp chain matchen ?

sie verlasssen die ppp-chain gehen back in die input chain und werden wenn alle commands in der input chain (sagma nicht zutrefen) von der generellen policy
gedroppt

plz write back ob du das problem lösen konntest
mfg
tom
Tom
 

RE: ipchains frage

Beitragvon quay » So 12 Aug, 2001 21:57

nein konnte ich nicht........und es is auch kein fehler in der wall.....

ich hab alle rules in der ppp chain geflushed und die input chain auf DENY gesetzt....
trotzdem kam immer noch eine connect meldung.....ich verstehs net...

--quay
quay
 

RE: ipchains frage

Beitragvon Tom » Mo 13 Aug, 2001 18:59

hmm des rätsels lösung ist vielleicht:

du leitest alle packete von eth0 in die eigene ppp chain um!
hast dus auch mit ppp0 probiert statt eth0?

mfg
tom
Tom
 

RE: ipchains frage

Beitragvon quay » Mo 13 Aug, 2001 20:43

ich leite alle pakete von eht0 (ANT) in die eth0 chain in der alle pakete mit source adress 10.0.0.138 akzeptiert werden.
weiters leite ich alle pakete von ppp0 in die ppp chain........also genau wie du gesagt hast...

--quay
quay
 

RE: ipchains frage

Beitragvon Tom » Di 14 Aug, 2001 00:09

hmm
nagut wenns nicht an der ppp-chain liegt, vielleicht ist der hund in der eth0-chain begraben, obwohl ich erhlich zugeben muss ne trennung zw eth0 und ppp0 wĂĽrd ich garnicht vornehmen!!

zumindest machs ich so in dem firewall (script), das mir von roman (nicht der roman ausn forum *g*) zur verfĂĽgung gestellt wurde!
beim mir wird wird nur aus inet-interface extrahiert in dem fall PPP0

probiers probehalber mitnen kleinen script aus!
1. filterung in der INPUT Chain

2. umleitung aller tcp packete in die ppp chain vom interface ppp0
sorry ich hab vergessen wies mit ipchains genau geht,...
$IPTABLES -A INPUT -p TCP -i ppp0 -j ppp

3. du willst ftp unterbinden, setz ne eigene regel fĂĽr ftp -packete in der neuen ppp-chain, ich glaub ftp ist 21, bin mir jetzt aber nicht ganz sicher da es ja glaube ich ne "3-way handshake verbindung ist", 22 ist glaub i scho wieda ssh, vorsicht
ftp --> da gibts auch UDP verbindungen? in /etc/services gibts mehr infos *lol*
na is ja wurst filtern wir halt auf TCP
$IPTABLES -A ppp -p TCP -s 0/0 --sport 21 -j DROP
( obwohl ich glaub man braucht ja nicht einmal ne source angeben)

4. sodawassa um die regel zu ĂĽberprĂĽfen setzma die policy auf accept um zu gucken ob die regel funzt

$IPTABLES -P INPUT ACCEPT (oder ALLOW)

sodawassa zum 2tn jetzt sollten keine tcp verbindungen die den source 21 haben destination >1024 auf deinen rechner, zugreifen können auf ftp-services!!
sicherlich kann man spoolen oder wie man das nennt (es is scho spät *lol*,, drum werd i mal mützen gehen), morgen kommt vorprüfung für die theoretische und da sollte ich fit sein!!

also viel glĂĽck
--and much fun

LG
TOM

ps: warum verwendest du nicht iptables statt ipchains=?
Tom
 

RE: ipchains frage

Beitragvon quay » Di 14 Aug, 2001 08:34

ich hab die input policy sowieso auf DENY...also ist es unnötig eine eigene regel für ftp zu erstellen die das verbietet.....


ich hab auf dem server noch einen 2.2 kernel.......und denk noch nicht dran upzugraden wenn alles funkt.
derweil find ich die 2.4er kernel nicht so toll also arbeit ich noch mit ipchains...;)
never touch a running system - kennst sicher.....*g*

--quay
quay
 

RE: ipchains frage

Beitragvon Tom » Di 14 Aug, 2001 09:31

hmm, wenn du ĂĽberprĂĽfen willst ob deine regeln zutreffen --> solltest du die policy auf accept setzen, denn falls die commands nicht stimmen sollten, wird alles verweigert (ausser es ist in den regeln ausdrĂĽcklich erlaubt worden *lol*)
also ich hab nur so getestet!

du willst ja explizit nur den service ftp sperren, von aussen!
drum dachte ich mir du schreibst nochmal ein kleines testscript und um das genau zu ĂĽberprĂĽfen, denn irgendwo muss ja da hund begraben sein *g*

trotzdem gibts iptables nicht erst seit gestern und es bietet ja auch
einige vorteile gegenüber die älteren 2.2x kernels, ausserdem gibts die 2.4x kernels ja schon in der version 8!!

YES, never change a running system!
stimmt ist immer ein guter grundsatz *lol*



mfg
tom
Tom
 

RE: ipchains frage

Beitragvon quay » Di 14 Aug, 2001 18:11

<HTML>also ok tom....ich hab das ausprobiert....
input auf ACCEPT
und in die ppp chain nur 1 einzige rule....nämlich die dass zugriffe auf port 23 DENIED werden........ich krieg immer noch eine connect meldung.....(keine login aufforderung - dass du das nicht missverstehst )
das hier erscheint :

Trying xxx.xxx.xxx.xxx...
Connected to xxx.xxx.xxx.xxx.
Escape character is '^]'.

und weiter nichts.......

nach ein paar minuten kommt : closed connection

--quay

</HTML>
quay
 

RE: ipchains frage

Beitragvon Tom » Di 14 Aug, 2001 22:24

sorry ich hab schlecht gelesen!
manchmal bin ich wirklich sehr begriffsstutzig *lol*

du willst den ftp zugriff auf deinen ftp-server von aussen sperren oder?
und gleichzeitig alle connecton attemps mitloggen?
und nen port closed willst du erreichen?

hmm jetzt stellt sich die frage: kann ein paketfilter ĂĽberhaupt nen port-closed erreichen? timeout klingt vernĂĽnftig --> packete werden ja verworfen, das port bleibt ja vorhanden! (denk ich mir halt einmal *g*)
vielleicht mĂĽsste man das ganze von ner anderen seite angehen, ICMP ?
aber da du ja die policy fĂĽr die input-chain droppst mĂĽsste das ja dann auch egal sein!
droppst du auch die forward und output-chain?

-tom
Tom
 

iptables?

Beitragvon Tom » Di 14 Aug, 2001 22:57

hi nochmal

okidoki hab mal kurz manuel gefragt!
den port closed bekommst du mit dem zusätzlichen befehl REJECT statt DROP /DENY
nur jetzt kommts diese spezial commands gibts erst ab 2.4x kernels und iptables, vielleicht wärs jetzt ne gute zeit zum wechsel ? *g*


mfg
tom
Tom
 

RE: iptables?

Beitragvon quay » Mi 15 Aug, 2001 11:09

häh ?.....versteh ich net....

ich krieg ja dieses "port closed" jetzt schon !! (und verwende ipchains !!)
und ich wills nicht !!

ich will ein connection timeout - denn dafĂĽr hab ich ja das target DENY gesetzt !

und ausserdem gibts bei ipchains sehr wohl das target REJECT....siehe IPCHAINS-Howto....

--quay
quay
 

RE: iptables?

Beitragvon Atahualpa » So 19 Aug, 2001 20:59

so hier:
ipchains -A input -i ppp0 -p tcp -s 0.0.0.0/0 -d $YOURIP 21 -l -j DENY

wennst das ganze in die ppp chain leitest dann musst auch die default policy in der ppp chain auf deny setzen, möchte ich nur anmerken.

schick mir email dann kann ich dich mal portscannen falls du willst. ICQ is noch besser aber ich veröffentliche hier nicht meine nummer -> email.

mfg,
ata
Atahualpa
 

RE: iptables?

Beitragvon quay » Mo 20 Aug, 2001 14:17

ipchains -A input -i ppp0 -p tcp -s 0.0.0.0/0 -d $YOURIP 21 -l -j DENY

ok - ich weiss jetzt nicht ob das so funktioniert wie du es gepostet hast - aber ich schätze mal nicht.
warum nicht ? die syntax ist falsch - wenn du ein protokoll und einen port spezifizieren willst dann muss das so aussehen :


ipchains -A input -i ppp0 -p tcp <b>--dport 21</b> -s 0.0.0.0/0 -d $YOURIP -l -j DENY

so mĂĽsste das aussehen - und so stehts bei mir auch drinn.

>>wennst das ganze in die ppp chain leitest dann musst auch die default policy in der ppp chain auf deny setzen, möchte ich nur anmerken. <<

dazu möchte ich nur anmerken dass man bei ipchains für user-defined chains keine default policy setzen kann, sondern nur für built-in chains ;)


danke fĂĽr dein angebot - aber ich hab einen remote shell account von dem aus ich portscans auf meinen rechner starten kann. ;)

--quay
quay
 

RE: iptables?

Beitragvon Atahualpa » Di 21 Aug, 2001 10:58

sorry quay aber so wie ich es geschrieben habe funktionierts

ich verwende es ja so!!!!

man ipchains:

-d, --destination [!] address[/mask] [!] [port[:port]]
Destination specification. See the desciption of
the -s (source) flag for a detailed description of
the syntax. For ICMP, which does not have ports, a
"destination port" refers to the numeric ICMP code.
The flag --dst is a convenience alias for this
option.


So das heisst du kannst eine addresse schreiben (optional vorher ein NOT) danach optional eine subnetmask. Und danach optional den port oder eine portrange. Mit optionalem NOT wieder davor.
Dasselbe geht natuerlich auch bei -s
Viel einfacher wie das umstaendlichere --dport


ok ich muss zugeben das mit dem default policy war ein schuss ins blaue. Leider nicht getroffen :)

mfg,
ata
Atahualpa
 

Nächste

ZurĂĽck zu ANTIVIRUS & SECURITY

Wer ist online?

Mitglieder in diesem Forum: DotNetDotCom [Crawler] und 4 Gäste