traceroute blockieren mit IPTABLES |
||
---|---|---|
#0
| ||
16.08.2006, 01:51
Member
Beiträge: 31 |
||
|
||
16.08.2006, 11:32
Member
Beiträge: 5291 |
#2
Hätte jetzt gesagt ICMP für eth0 blockieren aber das tust du ja schon oder?
__________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
16.08.2006, 12:43
Member
Themenstarter Beiträge: 31 |
#3
korrekt, ICMP wird blockiert, aber traceroute ist immer noch erlaubt.
ich möchte eben beides blockieren ICMP und traceroute. weiss jemand was ich noch zusätzlich eintragen muss ? |
|
|
||
16.08.2006, 14:04
Member
Beiträge: 5291 |
#4
Hmm naja traceroute macht ja nichts anderes als ICMP benutzen, verstehe ich jetzt nicht ganz aber na gut.
__________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
16.08.2006, 14:47
Member
Themenstarter Beiträge: 31 |
||
|
||
26.02.2007, 09:30
Member
Beiträge: 43 |
#6
Zitat Hmm naja traceroute macht ja nichts anderes als ICMP benutzensoweit ich das noch in erinnerung hatte, funktioniert traceroute über UDP (linux), Ports UDP 33434:33523 windows tracert hingegen icmp... da dein Policies alle auf DROP gesetzt sind, wird also auch alles geblocked was nicht explizit zugelassen wird... dies nur ergänzend... Dieser Beitrag wurde am 26.02.2007 um 17:22 Uhr von lucy editiert.
|
|
|
||
26.02.2007, 10:34
Member
Themenstarter Beiträge: 31 |
#7
vielen herzlichen dank !
|
|
|
||
26.02.2007, 10:40
Member
Themenstarter Beiträge: 31 |
#8
mein firewall script sieht jetzt folgendermassen aus und hoffe alles OK.
anyway kann jemand einen blick werfen ? Code #!/bin/sh |
|
|
||
26.02.2007, 11:35
Member
Beiträge: 43 |
#9
ich weiss nicht ob das wirklich von dir so beabsichtigt ist, möglich ist ja alles.
jedoch fällt mir auf... relativ weit oben: ############ # Disable ping $IPTABLES -A INPUT -p icmp --icmp-type echo-request -j DROP $IPTABLES -A INPUT -p icmp --icmp-type echo-reply -j DROP weiter unten: ######### $IPTABLES -A INPUT -i eth1 -p icmp -j ACCEPT ..in dieser reihenfolge wirst du nie ein Ping auf die netzadresse von eth1 absetzen können (icmp type 8), denn der erste abgesetzte "ping" - egal auf welchem interface durchläuft den oberen filter und wird gedroppt. Interesse halber, was willst du damit erreichen? $IPTABLES -A INPUT -p icmp --icmp-type echo-reply -j DROP MFG |
|
|
||
26.02.2007, 11:49
Member
Beiträge: 5291 |
#10
Soll er doch die Regel $IPTABLES -A INPUT -i eth1 -p icmp -j ACCEPT dann nach oben setzen.
Zitat Interesse halber, was willst du damit erreichen?Das geht wahrscheinlich nur bei -A OUTPUT oder? __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
26.02.2007, 11:57
Member
Beiträge: 43 |
#11
Zitat Xeper postete...genau so würde ich das sehen ^^, deswegen mein hinweis, allerdings muss man immer hinterfragen was der besitzer tatsächlicherreichen will ^^, da dies ja immerhin eine gültige regel ist auch wenn ich es mehr für einen schönheitsfehler halte... Zitat Das geht wahrscheinlich nur bei -A OUTPUT oder?ich tippe eher, das er wenn er von diesem host auf dem diese iptables läuft, einen ping woandershin absetzt, er niemals eine Ping antwort bekommen wird. eine Output regel kann das natürlich auch sein, als folge (antwort) einer INPUT echo request, aber wenn der INPUT schon geblockt wird, gibts auch kein OUTPUT, gell? ------------- @cc 1) ...und wenn du dein firewall script wegen der übersichtlichkeit mal kürzen magst, denn in der regel ändert sich ja nicht viel wenn man sie einmal "richtig" konfiguriert hat, kannst du sowas hier auch benutzen: ################################################ # meine Ports SSH, FTP, IMAP ...etc. MY_PORTS="21 22 993" # beliebig erweiterbar for PORT in ${MY_PORTS} ; do $IPTABLES -A INPUT -p tcp -m tcp --dport ${PORT} -j ACCEPT done ################################################ bzw. auch mit multiports, aber dort aufpassen wegen der 15 port limitation du könntest auch alle tcp pakete auf gültigkeit (syn flagg gesetzt) überprüfen, immer wenn eine neue Verbindung aufgebaut wird... ##### TCP_CHECK Regel ##### $IPTABELES -N TCP_CHECK $IPTABELES A TCP_CHECK -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABELES -A TCP_CHECK -p tcp --syn -j ACCEPT $IPTABELES -A TCP_CHECK -p tcp -j DROP ####################### nun müsstest du allerdings alle anderen TCP Regeln durch dieses Target "jagen"... z.B. ################################################ # meine Ports SSH, FTP, IMAP ...etc. MY_PORTS="21 22 993" # beliebig erweiterbar for PORT in ${MY_PORTS} ; do $IPTABLES -A INPUT -p tcp -m tcp --dport ${PORT} -j TCP_CHECK done ################################################ naja, seh das nur als kleine ergänzung nicht als kritik an deinem script... 2) ...sehe ich das richtig, das dein IPSEC Gateway eine "sogenannte" Eier-legende-Woll-Milch-Sau" ist? du erlaubst ziemlich viele dienste auf diesem System, oder gehts dir "eigentlich" mehr darum, deinen "dahinterliegen LAN's" FTP, IMAP , SMTP over TLS/SSl etc. Zugänge zu ermöglichen? Die vielen INPUT Regeln weisen darauf hin, das dieses System IMAP, FTP und SMTP server ist... ich halte es nicht für ratsam, ein "derart" wichtiges system mit allen diensten (FTP, ec.) zu penetrieren, es ist einfach zu angreifbar, immerhin bildet es den abschlusspunkt zu deinem LAN, das willst du doch schützen oder? ...anderenfalls muesste man ein paar INPUT Regeln in FORWARD regeln umwandeln. Wenn du passives FTP auch ermöglichen möchtest (FTP Server) , dann müsstest du noch ein paar mehr TCP ports aufmachen (standard TCP/35035:49049, insofern nicht am TCP dienst konfigurierbar ist)... für die Nutzung von FTP durch dieses gateway für deine LANS, solltest du nicht vergessen, die iptables module > ip_conntrack_ftp und ip_nat_ftp zu laden, sonst wird es evtl. probleme geben. kannst du mit #~ lsmod überprüfen so das wars auch schon... MFG Dieser Beitrag wurde am 26.02.2007 um 13:09 Uhr von lucy editiert.
|
|
|
||
habe auf meinem ipsec gateway (debian stable) follgenden firewall script:
Code
wie kann ich zusätzlich traceroute von extern blockieren ?