MonMotha-Firewall-Script (IPTABLES) |
||
---|---|---|
#0
| ||
07.02.2003, 18:24
Ehrenmitglied
Beiträge: 831 |
||
|
||
10.07.2003, 16:22
Member
Beiträge: 15 |
#2
Wenn ich mir diese Liste ansehe, fehlen hier aber noch einige "falsche" IP Adressen.
Das einzige, was ich an der Liste nicht verstehe, ist diese "Aggregated" und "Not Aggregated". Dieser Beitrag wurde am 10.07.2003 um 16:22 Uhr von lagalopex editiert.
|
|
|
||
11.07.2003, 01:25
Member
Beiträge: 907 |
#3
hab grad ma kurz drüber geschaut
sehr aufgeräumtes script was mich stört evtl. als tip an user, die es benutzen wollen das forwarding wird VOR dem setzen der drop policies aktiviert dies sollte man erst aktivieren, wenn die rules fertig eingelesen wurden greez |
|
|
||
11.07.2003, 01:48
Member
Beiträge: 5291 |
#4
Was solln der ganze Kram mit 'stealth scans ignorieren'?
Wie soll der ftp server funktionieren wenn syn pakete ignoriert werden? Dann sollte man eher die Pakete ignorieren die bei ftp-data ankommen und keine syn flag haben. Nene ich mag mein Script ich glaube wenn ich das da lade funktioniert gar nichts mehr Viel zu klein das dingen. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
11.07.2003, 10:10
Member
Beiträge: 907 |
#5
öhm xeper...
da werden doch keine pakete ignoriert, die nur das SYN flag gesetzt haben :confused: hier wird doch nur geschaut, ob bei einem paket, was nicht konform ist, das SYN _und_ FIN/RST bit gesetzt ist - wenn ja, wirds verworfen iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP normale Verbindungsversuche werden doch weiterhin angenommen oder liege ich falsch? greez |
|
|
||
11.07.2003, 11:41
Member
Beiträge: 5291 |
#6
also für mich siehts so aus als ob alle Pakete die, die SYN,FIN flag besitzen verworfen werden. Vielleicht habsch au nen knick inner optik Aber es sieht so aus.
__________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
11.07.2003, 11:45
Member
Beiträge: 15 |
#7
Ja, ein normaler Verbindungsaufbau wird nur mit dem SYN gestartet. Man kann bei einigen BS aber aufgrund der Antwort auf ein SYN-FIN (eigentlich nicht korrekt) darauf schließen, ob der port offen ist oder nicht.
PS: Was meint ihr eigentlich zu der Liste mit den IPs, sollte man sowas benutzen? Dieser Beitrag wurde am 11.07.2003 um 11:46 Uhr von lagalopex editiert.
|
|
|
||
11.07.2003, 12:42
Member
Beiträge: 5291 |
#8
Das mit den IPs ist blödsinn. Man sollte keine ips blocken sondern eher einfach zwischen internes netz und externes netz unterscheiden. Und auch solche scripts zu nutzen ist eigentlich auch Quatsch, jeder sollte sein eigenes schreiben was auch auf denjenigen abgestimmt ist. Bei mir sind Gegebenheiten die wiederum bei jemanden anders nicht sind usw. So würde mir dieses Script also gar nichts bringen. Und das mit den stealthports ist auch blödsinn. Wofür das ganze entweder ist ein Port offen oder zu. Das ergibt halt keinen sinn.
__________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
11.07.2003, 14:45
Member
Beiträge: 15 |
#9
Zitat Xeper postete Mehr wollte ich nicht wissen Zitat Xeper postete Hab auch mein eigenes, aber man kann von solchen Scripts bestimmt noch das ein oder andere lernen. Zitat Xeper postete Naja, vielleicht will man einem, der keinen Zugang zu dem Port hat, erst garnicht zeigen, dass der eigentlich offen ist, halt nur für ihn nicht. Und Stealth-Scans, sind ja nur da, um einfache Firewalls auszutricksen, so dass die nichts anzeigen. Aber eine SYN-FIN Kombination, z.B., ist eh eine illegale Kombination von TCP-Flags, würde also eh irgenwann verworfen werden. |
|
|
||
11.07.2003, 15:11
Member
Beiträge: 5291 |
#10
Naja wenn nen Port public ist, dann ist er halt public man sollte lieber den Dienst sicherer machen der da hinter steckt. Der Paketfilter selbst ist eigentlich gar nichts zum sichern eher zum kontrollieren.
__________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
13.07.2003, 16:47
Member
Beiträge: 907 |
#11
xeper hat vollkommen recht, was die ports angeht
wenn ein port als stealthed angezeigt wird, ist das meiner meinung nach sogar gefährlicher, als würde er als "closed" durch einen paket filter angezeigt werden. denn bei stealthed würde sich ein hacker eher die mühe machen, reinzukommen, da er ja da einen port hinter vermuten kann bzw. auf eine (löchrige) firewall hoffen kann naja ansichtssache ich verschicke immer port unreachable meldungen (=>closed) greez |
|
|
||
14.07.2003, 05:58
Member
Beiträge: 15 |
#12
Bei tcp müsste aber ein RST verschickt werden...
Und es geht ja nicht darum, dass die Ports als stealth erkannt werden, sondern das der scan stealth ist (jedenfalls für einfache Firewalls/Paketfilter), bzw ungültige Flags kombiniert werden. |
|
|
||
04.09.2004, 12:01
Member
Beiträge: 15 |
#13
Hi, also folgendes ...
will mon mother auf knoppix 3.6 (hd) installieren. der linux rechner soll als router laufen. die 2. netzwerkkarte (eth0) ist mit dem hub verbunden. Die 1. Netzwerkkarte (eth1) ist gleich am dslmodem. am sind noch 3 XP systeme und ein win2k system. nun will ich dass alle rechner surfen können und der datenaustausch zwischen windows und linux rechner soll auch funzen. was ich halt erstmal hoffe, ist dass dies alles mit monmother funktioniert *g*. nun wegen der config. kann ich diese config nu so lassen?. weil meine netzwerkkarten sind ja auch 192.168.0.1 & 192.168.0.2! von daher wüsste ich net was ich noch grossartig einstellen müsse, plz help ........ MonMotha's Firewall 2.3.8-pre7 vielen dank. Zitat IPTABLES="/usr/sbin/iptables"# set to your iptables location, must be set@poiin2000 habe http://www.different-thinking.de/linux-nat-iptables.php durch gelesen ist easy wäre auch ne gute alternative zum routen aber so funzt der netzwerkmist zwischen win und linux net oder sehe ich das falsch `? Dieser Beitrag wurde am 04.09.2004 um 12:31 Uhr von Bozzy editiert.
|
|
|
||
04.09.2004, 17:24
Member
Beiträge: 5291 |
#14
@Bozzy
Zitat INET_IFACE="eth1"# the interface your internet's on (one only), must be setIst nicht richtig, du hast DSL und ich gehe davon aus das du dich einwählen musst - dann muss ppp0 dahin. eth1 stimmt nur dann wenn du eine direkt Verbindung (meistens mit statischer IP) hast, bei der du dich nichteinwählen musst. Zitat ENABLE="N"# Set to 'Y' when it's configured; this is for your own safetyWie da schon beschrieben ist musst du das N durch ein Y ersetzen Zitat habe http://www.different-thinking.de/linux-nat-iptables.php durch gelesen ist easy wäre auch ne gute alternative zum routen aber so funktioniert der netzwerkmist zwischen win und linux net oder sehe ich das falsch `?Was ist der Netzwerkmist zwischen win und linux?? In diesem Tutorial wird nur beschrieben wie du mehrere Clients ans Internet bekommst, sprich wie du deine GNU/Linux Kiste als Router einsetzt. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
Zitat
Hi
ich habe mir dieses Script ausführlich angeschaut
Ich halte es für eines der Besten IPtablesausführungen die Privatleute und auch kleine Unternehmen für Ihre Firewall nutzen können.
http://monmotha.mplug.org/firewall/index.php
Für die Stabile Version 2.3.7 habe ich einen Zusatz geschrieben.
Die Benutzung läuft auf eigene Gefahr hinaus.
Erweiterungen sind Steahltscans zu unterbinden und viele Gefälschten Adressen am InternetInterface zu vernichten.
Fügt den Code auf Seite 6 vor # Let´s load it ! ein
Viel Erfolg
mfg poiin2000
Code
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de