Re: iptables -vnL - Paketübersicht Accountin g SOLVED!
Stefan Bauer schrieb: iptables -A ACCOUNTING -j LDROP ich pflaume, wenn ich schon irgendwo was an LDROP verweise, sollte ich LDROP auch anweisen das ankommende zu verwerfen. Gefehlt hat: iptables -A LDROP -j DROP Mit besten Grüßen -- Stefan Bauer www.plzk.de - www.splatterworld.de [EMAIL PROTECTED] . [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables Regel will nicht funktionieren
On Tue, 7 Nov 2006 10:13:57 +0100 Sandro Frenzel wrote: Ein telnet auf die IP von eth1 und den Port 5632 versagt :(! Ich hab grad nicht die iptables Syntax verrifiziert, aber: Wenn die Regel auf deinem Router ist, und du hinter diesem sitzt, funktioniert sowas nicht. Du musst Port-Forwarding von echt-außen testen. Heißt wenn deine Pakete über eth2 reinkommen, aber als Empfänger die IP von eth1 haben, landen sie nicht bei iptables (sondern direkt beim Kernel? kA). Gruß Evgeni, sich in der Uni über Java langweilend...
Re: iptables Regel will nicht funktionieren
Am Dienstag 07 November 2006 10:23 schrieb Evgeni Golov: On Tue, 7 Nov 2006 10:13:57 +0100 Sandro Frenzel wrote: Ein telnet auf die IP von eth1 und den Port 5632 versagt :(! Ich hab grad nicht die iptables Syntax verrifiziert, aber: Wenn die Regel auf deinem Router ist, und du hinter diesem sitzt, funktioniert sowas nicht. Du musst Port-Forwarding von echt-außen testen. Heißt wenn deine Pakete über eth2 reinkommen, aber als Empfänger die IP von eth1 haben, landen sie nicht bei iptables (sondern direkt beim Kernel? kA). Nein, ich mach das telnet von nem anderen Server aus...! Also wirklich von außen. Gruß Evgeni, sich in der Uni über Java langweilend... Tschau Sandro
Re: iptables Regel will nicht funktionieren
Hi, Sandro Frenzel wrote: Hey Liste! Sorry erstma, dass ich hierfür die Liste missbrauche. Aber es muss schnell gehen. Ich hoffe ihr verzeiht mir dies ;)! Folgendes will nicht funktionieren: /sbin/iptables -D FORWARD -i eth1 -j ACCEPT /sbin/iptables -D PREROUTING -t nat -i eth1 -p tcp --dport 5632 -j DNAT --to 172.20.xx.xxx:5632 Ich würd mal sagen, die Reihenfolge stimmt nicht. ---snip--- /sbin/iptables -t nat -A PREROUTING -p tcp -i eth1 -d xxx.xxx.xxx.xxx --dport 5632 -j DNAT --to 172.20.xx.xxx:5632 /sbin/iptables -A FORWARD -p tcp -i eth1 -d 122.20.xx.xxx --dport 5632 -j ACCEPT ---snap--- Die xxx.xxx.xxx.xxx ist die IP Adresse Deines Gateways. Steht irgendwie so auch in der Docu zu iptables ;-) hth Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables Regel will nicht funktionieren
On Tue, 7 Nov 2006 10:13:57 +0100 Sandro Frenzel wrote: /sbin/iptables -D PREROUTING -t nat -i eth1 -p tcp --dport 5632 -j DNAT --to 172.20.xx.xxx:5632 So, jetzt hab ich doch ma in meine Forwards geguckt, da hab ich -A PREROUTING und nicht -D Weil -A heißt add, und -D delete... ;-)
Re: iptables Regel will nicht funktionieren
Am Dienstag 07 November 2006 10:42 schrieb Evgeni Golov: On Tue, 7 Nov 2006 10:13:57 +0100 Sandro Frenzel wrote: /sbin/iptables -D PREROUTING -t nat -i eth1 -p tcp --dport 5632 -j DNAT --to 172.20.xx.xxx:5632 So, jetzt hab ich doch ma in meine Forwards geguckt, da hab ich -A PREROUTING und nicht -D Weil -A heißt add, und -D delete... ;-) Sryhab den stop Teil aus dem Script geschrieben. Sollte eigentlich statt -D -I heißen. Tschau Sandro
Re: iptables ip_conntrack_ftp kernel module
man lsmod man modprobe modinfo Holm Kapschitzki wrote: Hallo, wie war denn nochmal der Befehl um sich die geladenen kernel Module anzeigen zu lassen? Ich hab mal ein ein locate ip_conntrack_ftp /lib/modules/2.6.8-3-k7/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko /usr/include/linux/netfilter_ipv4/ip_conntrack_ftp.h gemacht und die Ausgabe bekommen. Ist das jetzt geladen? Gruß Holm -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables ip_conntrack_ftp kernel module
Holm Kapschitzki schrieb: Hallo, Abend, wie war denn nochmal der Befehl um sich die geladenen kernel Module anzeigen zu lassen? lsmod -- MfG Jan OpenPGP Fingerprint: 0E9B 4052 C661 5018 93C3 4E46 651A 7A28 4028 FF7A pgpB0t9acSuUL.pgp Description: PGP signature
Re: iptables ip_conntrack_ftp kernel module
Hallo, ja danke, also laut Ausgabe von lsmod ist es nicht eingebunden, aber es ist ja auf dem System vorhanden. modprobe -n /usr/include/linux/netfilter_ipv4/ip_conntrack_ftp.h ergibt: FATAL: Module /usr/include/linux/netfilter_ipv4/ip_conntrack_ftp.h not found Gruß Holm -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables ip_conntrack_ftp kernel module
Hallo, ok manchmal ist doch besser google als man, aber egal. Ich hab jetzt nur noch ein Verständnisproblem. Vorhin habe ich übersehen das ip_conntrack_ftp geladen war siehe hier: srv4:~# lsmod Module Size Used by ipt_limit 2560 3 ipt_state 2112 71 ipt_LOG 6656 3 iptable_nat25252 0 ip_conntrack 35208 3 ip_conntrack_ftp,ipt_state,iptable_nat dann habe ich mit: modprobe ip_conntrack_ftp das Modul geladen und folgende Ausgabe bekommen: srv4:~# lsmod Module Size Used by ip_conntrack_ftp 72368 0 ipt_limit 2560 3 ipt_state 2112 71 ipt_LOG 6656 3 iptable_nat25252 0 ip_conntrack 35208 3 ip_conntrack_ftp,ipt_state,iptable_nat Zu sehen ist einmal ein Modul unter ip_conntrack un einmal das Modul als solches ganz oben. Was ist der Unterschied? Und wie kann ich folgerichtig das Modul rein- oder rausnhmen unter srv4:~# lsmod Module Size Used by ip_conntrack_ftp 72368 0 ipt_limit 2560 3 ipt_state 2112 71 ipt_LOG 6656 3 iptable_nat25252 0 ip_conntrack 35208 3 ip_conntrack_ftp,ipt_state,iptable_nat Gruß Holm -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables ip_conntrack_ftp kernel module
* Holm Kapschitzki [EMAIL PROTECTED] wrote: Hallo, ja danke, also laut Ausgabe von lsmod ist es nicht eingebunden, aber es ist ja auf dem System vorhanden. modprobe -n /usr/include/linux/netfilter_ipv4/ip_conntrack_ftp.h ergibt: FATAL: Module /usr/include/linux/netfilter_ipv4/ip_conntrack_ftp.h not found 1. ist das nicht das Modul, sondern /lib/modules/2.6.8-3-k7/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko 2. heisst der Befehl einfach 'modprobe -n ip_conntrack_ftp' Gruß Jens
Re: iptables ip_conntrack_ftp kernel module
Hallo Jens, Jens Schüßler schrieb: * Holm Kapschitzki [EMAIL PROTECTED] wrote: Hallo, ja danke, also laut Ausgabe von lsmod ist es nicht eingebunden, aber es ist ja auf dem System vorhanden. modprobe -n /usr/include/linux/netfilter_ipv4/ip_conntrack_ftp.h ergibt: FATAL: Module /usr/include/linux/netfilter_ipv4/ip_conntrack_ftp.h not found 1. ist das nicht das Modul, sondern /lib/modules/2.6.8-3-k7/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko war ein copypaste Fehler ehrlich 2. heisst der Befehl einfach 'modprobe -n ip_conntrack_ftp' Gruß Jens oder auch einfach ohne -n ? Aber jetzt habe ich ein neues Problem siehe letzte Mail. DankeGruß Holm -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables ip_conntrack_ftp kernel module
Holm Kapschitzki schrieb: Hallo, modprobe -n /usr/include/linux/netfilter_ipv4/ip_conntrack_ftp.h ergibt: FATAL: Module /usr/include/linux/netfilter_ipv4/ip_conntrack_ftp.h not found Die Module befinden sich auch nicht unter /usr/include/linux/, da sind nur Header. Module sind installiert unter: /lib/`uname -r`/kernel/ Also sollte modprobe ip_conntrack_ftp helfen. Gruß Holm -- MfG Jan OpenPGP Fingerprint: 0E9B 4052 C661 5018 93C3 4E46 651A 7A28 4028 FF7A pgp38PaWHtGXn.pgp Description: PGP signature
Re: iptables ip_conntrack_ftp kernel module
* Holm Kapschitzki [EMAIL PROTECTED] wrote: dann habe ich mit: modprobe ip_conntrack_ftp das Modul geladen und folgende Ausgabe bekommen: srv4:~# lsmod Module Size Used by ip_conntrack_ftp 72368 0 ipt_limit 2560 3 ipt_state 2112 71 ipt_LOG 6656 3 iptable_nat25252 0 ip_conntrack 35208 3 ip_conntrack_ftp,ipt_state,iptable_nat Zu sehen ist einmal ein Modul unter ip_conntrack un einmal das Modul als solches ganz oben. Was ist der Unterschied? Und wie kann ich folgerichtig das Modul rein- oder rausnhmen unter Wie du sehen kannst, steht in über der dritten Spalte 'Used by', d.h, das das Modul ip_conntrack von den dreien dahinter benutzt wird. DAs sind die Abhängigkeiten einzelner Module voneinander. Wenn du jetzt ip_conntrack entladen willst, kommt die Meldung ERROR: Module ip_conntrack is in use by ip_conntrack_ftp,ipt_state,iptable_nat stest also erst die genannten 3 Module entfernen. Das geht mit 'rmmod $MODUL' oder 'modprobe -r $MODUL' Gruß Jens
Re: iptables ip_conntrack_ftp kernel module
* Holm Kapschitzki [EMAIL PROTECTED] wrote: Hallo Jens, Jens Schüßler schrieb: * Holm Kapschitzki [EMAIL PROTECTED] wrote: Hallo, ja danke, also laut Ausgabe von lsmod ist es nicht eingebunden, aber es ist ja auf dem System vorhanden. modprobe -n /usr/include/linux/netfilter_ipv4/ip_conntrack_ftp.h ergibt: FATAL: Module /usr/include/linux/netfilter_ipv4/ip_conntrack_ftp.h not found 1. ist das nicht das Modul, sondern /lib/modules/2.6.8-3-k7/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko war ein copypaste Fehler ehrlich Hätte aber auch mit modprobe /lib/modules/2.6.8-3-k7/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko nicht funktioniert ;-) 2. heisst der Befehl einfach 'modprobe -n ip_conntrack_ftp' oder auch einfach ohne -n ? Den Schalter habe ich dazu weil du ihn auch hattest. '-n' ist einfach nur '--dry-run', also ein Testlauf ob das Modul geladen werden kann. Gruß Jens
Re: iptables ip_conntrack_ftp kernel module
Hallo Jens, alles klar Danke Gruß Holm -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
Am Donnerstag, 31. August 2006 06:23 schrieb Ulf Volmer:
On Wed, Aug 30, 2006 at 01:44:33PM +0200, Daniel Musketa wrote:
Aber immer noch sendet iptables die Pakete aus dem Masquerading von
der gestrigen IP.
Ich habe festgestellt, daß es in /proc/net/ip_conntrack immer noch
Einträge gibt, die die alte externe IP enthalten. Warum wird die Tabelle
nicht gelöscht, während ppp0 down ist?
Kann ich dort Einträge manipulieren/löschen?
Kann ich vielleicht das Modul ip_conntrack neu laden? Wenn ja, wie? Kann
dabei was schiefgehen?
rmmod ip_conntrack ; modprobe ip_conntrack
BTW: Du kannst in
/proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream
den Timeout für UDP- Verbindungen runtersetzen. Evtl. umschifft das dein
Problem.
Ja, das hatte ich gestern noch als zweiten Workaround gefunden:
#!/bin/sh
TIMEOUT=$(cat /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout)
TIMEOUT_STREAM=$(cat
/proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream)
echo 0 /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
echo 0 /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream
sleep 10
echo ${TIMEOUT} /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
echo ${TIMEOUT_STREAM}
/proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream
#EOF
Mein Versuch, die contrack-Tabelle zu manipulieren schlug leider fehl, weil
selbst root nicht da reinschreiben darf:
#!/bin/sh
OLD_IP=84\.179\.69\.240
CONNTRACK=$(cat /proc/net/ip_conntrack)
echo ${CONNTRACK} | egrep -v ^udp.+${OLD_IP} \
/proc/net/ip_conntrack
#EOF
Daniel
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
Am Donnerstag, 24. August 2006 14:24 schrieb Ulf Volmer: On Thu, Aug 24, 2006 at 11:16:23AM +0200, Daniel Musketa wrote: [...] Nachdem die externe IP gewechselt hat, sendet iptables seine NAT-Pakete weiterhin von der alten IP aus. Letzte Nacht habe ich über ein in /etc/ppp/ip-up.d liegendes Skript die NAT-Regel neu geladen: ... -D POSTROUTING ... -j MASQUERADE ... -A POSTROUTING ... -j MASQUERADE Die alten Einträgen in den Tabellen bekommst du so nicht weg. Du wirst um ein iptables -F nicht herumkommen, imho. Am Donnerstag, 24. August 2006 14:39 schrieb Andre Timmermann: wenn ein iptables -F wegen dem Verlust der Konfiguration Bauchweh macht, könnte man mit iptables-save rules die Konfig sichern, die stöhrenden Zeilen mit einem texteditor entfernen und dann die Konfig flushen. Danach mit iptables-restore rules wieder einlesen. Super Idee. Danke. Irgendwas fehlt aber noch. Wenn ich nämlich ein iptables-save /tmp/iptables-rules \ iptables -F \ iptables-restore /tmp/iptables-rules ausführe, werden zwar alle Regeln neu geladen und die Zähler zurückgesetzt, die rausgehenden UDP-Pakete haben aber immer noch die gestrige IP als Absender. Gibt's noch was stärkeres als `iptables -F`? Daniel
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
On Wed, Aug 30, 2006 at 09:42:07AM +0200, Daniel Musketa wrote: iptables-save /tmp/iptables-rules \ iptables -F \ iptables-restore /tmp/iptables-rules ausführe, werden zwar alle Regeln neu geladen und die Zähler zurückgesetzt, die rausgehenden UDP-Pakete haben aber immer noch die gestrige IP als Absender. Gibt's noch was stärkeres als `iptables -F`? Ich weiß immer noch nicht, wieso du nicht das Script, das die Regeln erstellst, einfach nochmal startest. Das stellt dir wieder einen def. Zustand her. cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
Hallo, Ulf, Am Mittwoch, 30. August 2006 09:57 schrieb Ulf Volmer: On Wed, Aug 30, 2006 at 09:42:07AM +0200, Daniel Musketa wrote: iptables-save /tmp/iptables-rules \ iptables -F \ iptables-restore /tmp/iptables-rules ausführe, werden zwar alle Regeln neu geladen und die Zähler zurückgesetzt, die rausgehenden UDP-Pakete haben aber immer noch die gestrige IP als Absender. Gibt's noch was stärkeres als `iptables -F`? Ich weiß immer noch nicht, wieso du nicht das Script, das die Regeln erstellst, einfach nochmal startest. Das stellt dir wieder einen def. Zustand her. Ich dachte, iptables-restore würde genau das tun ... ok, ich versuch's mal als Shell-Skript. Daniel
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
Am Mittwoch, 30. August 2006 09:57 schrieb Ulf Volmer: On Wed, Aug 30, 2006 at 09:42:07AM +0200, Daniel Musketa wrote: iptables-save /tmp/iptables-rules \ iptables -F \ iptables-restore /tmp/iptables-rules ausführe, werden zwar alle Regeln neu geladen und die Zähler zurückgesetzt, die rausgehenden UDP-Pakete haben aber immer noch die gestrige IP als Absender. Gibt's noch was stärkeres als `iptables -F`? Ich weiß immer noch nicht, wieso du nicht das Script, das die Regeln erstellst, einfach nochmal startest. Das stellt dir wieder einen def. Zustand her. So, jetzt habe ich das Regelwerk komplett in _ein_ Skript gepackt und ein iptables -F -t filter iptables -F -t nat iptables -F -t mangle vorangestellt. Interessanterweise werden die Zähler dabei nicht zurückgesetzt. Die Regeln werden aber neu geladen, was mir ein zwischengeschobenes iptables -vL zeigt. Aber immer noch sendet iptables die Pakete aus dem Masquerading von der gestrigen IP. Noch jemand eine Idee? ... ratlos, Daniel
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
On Wed, Aug 30, 2006 at 10:48:01AM +0200, Daniel Musketa wrote: So, jetzt habe ich das Regelwerk komplett in _ein_ Skript gepackt und ein iptables -F -t filter iptables -F -t nat iptables -F -t mangle vorangestellt. Interessanterweise werden die Zähler dabei nicht zurückgesetzt. Die Regeln werden aber neu geladen, was mir ein zwischengeschobenes Die Zähler werden separat mit 'iptables -Z' zurückgesetzt. iptables -vL zeigt. Aber immer noch sendet iptables die Pakete aus dem Masquerading von der gestrigen IP. Kannst du das Scipt mal irgendwo ablegen oder hier posten? cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
Am Mittwoch, 30. August 2006 10:57 schrieb Ulf Volmer: On Wed, Aug 30, 2006 at 10:48:01AM +0200, Daniel Musketa wrote: So, jetzt habe ich das Regelwerk komplett in _ein_ Skript gepackt und ein iptables -F -t filter iptables -F -t nat iptables -F -t mangle vorangestellt. [...] Aber immer noch sendet iptables die Pakete aus dem Masquerading von der gestrigen IP. Kannst du das Scipt mal irgendwo ablegen oder hier posten? Klar. 8 #!/bin/sh # alte Reglen löschen iptables -v -F -t nat iptables -v -F -t mangle iptables -v -F -t filter # Kontrolle, ob wirklich leer iptables -vL -t nat echo # DIE WICHTIGSTE ZEILE: iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE # RTP-Ports für SIP auf den Asterisk forwarden iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1:10500 \ -j DNAT --to-destination 192.168.1.128 # diverse andere Relgeln iptables -t mangle -A INPUT -p tcp -m tcp --dport 22 -j MARK --set-mark 0x14 # ... # und weitere Regeln iptables -t filter -A INPUT -i tun1 -m state --state \ INVALID,NEW,RELATED,UNTRACKED -j REJECT \ --reject-with icmp-port-unreachable # ... # Kontrolle, ob Regeln neu geladen: iptables -vL -t nat 8 Die Ausgabe sieht so aus: 8 Flushing chain `PREROUTING' Flushing chain `POSTROUTING' Flushing chain `OUTPUT' Flushing chain `PREROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Flushing chain `POSTROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Chain PREROUTING (policy ACCEPT 2407 packets, 154K bytes) pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 256 packets, 18919 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 1151 packets, 73598 bytes) pkts bytes target prot opt in out source destination Chain PREROUTING (policy ACCEPT 2407 packets, 154K bytes) pkts bytes target prot opt in out source destination 0 0 DNAT udp -- ppp0 any anywhere anywhere udp dpts:1:10500 to:192.168.1.128 Chain POSTROUTING (policy ACCEPT 256 packets, 18919 bytes) pkts bytes target prot opt in out source destination 0 0 MASQUERADE all -- anyppp0anywhere anywhere Chain OUTPUT (policy ACCEPT 1151 packets, 73598 bytes) pkts bytes target prot opt in out source destination 8 Daniel
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
Am Mittwoch, 30. August 2006 11:17 schrieb Daniel Musketa: Am Mittwoch, 30. August 2006 10:57 schrieb Ulf Volmer: On Wed, Aug 30, 2006 at 10:48:01AM +0200, Daniel Musketa wrote: So, jetzt habe ich das Regelwerk komplett in _ein_ Skript gepackt und ein iptables -F -t filter iptables -F -t nat iptables -F -t mangle vorangestellt. [...] Aber immer noch sendet iptables die Pakete aus dem Masquerading von der gestrigen IP. Ich habe festgestellt, daß es in /proc/net/ip_conntrack immer noch Einträge gibt, die die alte externe IP enthalten. Warum wird die Tabelle nicht gelöscht, während ppp0 down ist? Kann ich dort Einträge manipulieren/löschen? Kann ich vielleicht das Modul ip_conntrack neu laden? Wenn ja, wie? Kann dabei was schiefgehen? Daniel
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
On Wed, Aug 30, 2006 at 01:44:33PM +0200, Daniel Musketa wrote: Aber immer noch sendet iptables die Pakete aus dem Masquerading von der gestrigen IP. Ich habe festgestellt, daß es in /proc/net/ip_conntrack immer noch Einträge gibt, die die alte externe IP enthalten. Warum wird die Tabelle nicht gelöscht, während ppp0 down ist? Kann ich dort Einträge manipulieren/löschen? Kann ich vielleicht das Modul ip_conntrack neu laden? Wenn ja, wie? Kann dabei was schiefgehen? rmmod ip_conntrack ; modprobe ip_conntrack BTW: Du kannst in /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream den Timeout für UDP- Verbindungen runtersetzen. Evtl. umschifft das dein Problem. BTW2: https://bugzilla.netfilter.org/bugzilla/show_bug.cgi?id=329 cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
Am Dienstag, 22. August 2006 21:41 schrieb Ulf Volmer: On Tue, Aug 22, 2006 at 02:33:52PM +0200, Daniel Musketa wrote: Am Dienstag, 22. August 2006 14:21 schrieb Ulf Volmer: On Tue, Aug 22, 2006 at 02:07:31PM +0200, Daniel Musketa wrote: Am Dienstag, 22. August 2006 13:19 schrieb Ulf Volmer: Das klappt auch ... bis zum nächtlichen IP-Wechsel auf ppp0. Danach nämlich sendet iptables alle UDP-Pakete von der Asterisk-Maschine von der alten IP aus! Wie kann denn sowas sein? Du lädst aber schon die iptables- Befehle via /etc/ppp/ip-up.d neu? Nein, eigentlich nicht. Das mache ich aber auch nicht, wenn ich den Asterisk auf der LAN-Maschine mal zwei Minuten stoppe. Danach geht's ja auch ohne iptables-Rules neuzuladen. Das ändert ja auch nicht die externe IP. Das habe ich nicht verstanden. Wie meinst Du das? Ich meine nächtlichen IP-Wechsel auf ppp0. Genau. Leider verstehe ich immer noch nicht, was Du mir damit sagen willst. Nachdem die externe IP gewechselt hat, sendet iptables seine NAT-Pakete weiterhin von der alten IP aus. Letzte Nacht habe ich über ein in /etc/ppp/ip-up.d liegendes Skript die NAT-Regel neu geladen: ... -D POSTROUTING ... -j MASQUERADE ... -A POSTROUTING ... -j MASQUERADE Ohne Erfolg. Auch danach setzt iptables weiterhin die gestrige IP-Adresse in die ausgehenden Pakete. Solange bis ich Asterisk auf dem NAT-Client stoppe und nach ca. zweiminütiger Pause wieder starte. Selbst wenn iptables die versandten UDP-Pakete zeitbasiert als RELATED betrachtet, wie kommt denn es denn auf die Idee, eine fremde IP-Adresse als Absender einzusetzen? Wo kann ich sowas zurücksetzen? Daniel
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
On Thu, Aug 24, 2006 at 11:16:23AM +0200, Daniel Musketa wrote: Am Dienstag, 22. August 2006 21:41 schrieb Ulf Volmer: ja auch ohne iptables-Rules neuzuladen. Das ändert ja auch nicht die externe IP. Das habe ich nicht verstanden. Wie meinst Du das? Ich meine nächtlichen IP-Wechsel auf ppp0. Genau. Leider verstehe ich immer noch nicht, was Du mir damit sagen willst. Nachdem die externe IP gewechselt hat, sendet iptables seine NAT-Pakete weiterhin von der alten IP aus. Letzte Nacht habe ich über ein in /etc/ppp/ip-up.d liegendes Skript die NAT-Regel neu geladen: ... -D POSTROUTING ... -j MASQUERADE ... -A POSTROUTING ... -j MASQUERADE Die alten Einträgen in den Tabellen bekommst du so nicht weg. Du wirst um ein iptables -F nicht herumkommen, imho. cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
Am Donnerstag, den 24.08.2006, 14:24 +0200 schrieb Ulf Volmer: Die alten Einträgen in den Tabellen bekommst du so nicht weg. Du wirst um ein iptables -F nicht herumkommen, imho. Ich hab zwar den Thread nicht ganz gelesen, aber wenn ein iptables -F wegen dem Verlust der Konfiguration Bauchweh macht, könnte man mit iptables-save rules die Konfig sichern, die stöhrenden Zeilen mit einem texteditor entfernen und dann die Konfig flushen. Danach mit iptables-restore rules wieder einlesen. Greetz, Andre
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
On Tue, Aug 22, 2006 at 11:30:43AM +0200, Daniel Musketa wrote: Hallo, Liste, ein für mich sehr seltsames Problem mit iptables v1.2.11 unter Debian Sarge: Ich habe eine Rule, die sicher jeder kennt: -t nat -I POSTROUTING -o ppp0 -j MASQUERADE. Jetzt habe ich hinter diesem Debain-Router einen Asterisk, der auf dem SIP-Port 5060 UDP-Pakete versendet (und auf Antwort wartet). Das klappt auch ... bis zum nächtlichen IP-Wechsel auf ppp0. Danach nämlich sendet iptables alle UDP-Pakete von der Asterisk-Maschine von der alten IP aus! Wie kann denn sowas sein? Du lädst aber schon die iptables- Befehle via /etc/ppp/ip-up.d neu? cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
Hallo, Ulf, Am Dienstag, 22. August 2006 13:19 schrieb Ulf Volmer: On Tue, Aug 22, 2006 at 11:30:43AM +0200, Daniel Musketa wrote: Hallo, Liste, ein für mich sehr seltsames Problem mit iptables v1.2.11 unter Debian Sarge: Ich habe eine Rule, die sicher jeder kennt: -t nat -I POSTROUTING -o ppp0 -j MASQUERADE. Jetzt habe ich hinter diesem Debain-Router einen Asterisk, der auf dem SIP-Port 5060 UDP-Pakete versendet (und auf Antwort wartet). Das klappt auch ... bis zum nächtlichen IP-Wechsel auf ppp0. Danach nämlich sendet iptables alle UDP-Pakete von der Asterisk-Maschine von der alten IP aus! Wie kann denn sowas sein? Du lädst aber schon die iptables- Befehle via /etc/ppp/ip-up.d neu? Nein, eigentlich nicht. Das mache ich aber auch nicht, wenn ich den Asterisk auf der LAN-Maschine mal zwei Minuten stoppe. Danach geht's ja auch ohne iptables-Rules neuzuladen. Ich dachte immer, das sei -- im Gegensatz zu beispielsweise tc-qdiscs -- nicht nötig, weil man ja Regeln auch für (noch) nicht existierende Devices anlegen kann, also die Regel, die -o ppp0 betrifft, auch beim nächsten ppp0 wieder gilt. Wie lade ich denn, falls tatsächlich nötig, das iptables-Modul neu (ohne alles zu löschen und neu einzurichten)? Daniel
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
On Tue, Aug 22, 2006 at 02:07:31PM +0200, Daniel Musketa wrote: Am Dienstag, 22. August 2006 13:19 schrieb Ulf Volmer: Das klappt auch ... bis zum nächtlichen IP-Wechsel auf ppp0. Danach nämlich sendet iptables alle UDP-Pakete von der Asterisk-Maschine von der alten IP aus! Wie kann denn sowas sein? Du lädst aber schon die iptables- Befehle via /etc/ppp/ip-up.d neu? Nein, eigentlich nicht. Das mache ich aber auch nicht, wenn ich den Asterisk auf der LAN-Maschine mal zwei Minuten stoppe. Danach geht's ja auch ohne iptables-Rules neuzuladen. Das ändert ja auch nicht die externe IP. Ich dachte immer, das sei -- im Gegensatz zu beispielsweise tc-qdiscs -- nicht nötig, weil man ja Regeln auch für (noch) nicht existierende Devices anlegen kann, also die Regel, die -o ppp0 betrifft, auch beim nächsten ppp0 wieder gilt. Ich weiß ehrlich nicht, wie der Kernel da intern handhabt, hier wird bei Neueinwahl auch das Regelwerk neu geladen. Wie lade ich denn, falls tatsächlich nötig, das iptables-Modul neu (ohne alles zu löschen und neu einzurichten)? Wenn du ein passendes init- Script hast, reicht ein ln -s /etc/init.d/iptables /etc/ppp/ip-up.d/ cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
Am Dienstag, 22. August 2006 14:21 schrieb Ulf Volmer: On Tue, Aug 22, 2006 at 02:07:31PM +0200, Daniel Musketa wrote: Am Dienstag, 22. August 2006 13:19 schrieb Ulf Volmer: Das klappt auch ... bis zum nächtlichen IP-Wechsel auf ppp0. Danach nämlich sendet iptables alle UDP-Pakete von der Asterisk-Maschine von der alten IP aus! Wie kann denn sowas sein? Du lädst aber schon die iptables- Befehle via /etc/ppp/ip-up.d neu? Nein, eigentlich nicht. Das mache ich aber auch nicht, wenn ich den Asterisk auf der LAN-Maschine mal zwei Minuten stoppe. Danach geht's ja auch ohne iptables-Rules neuzuladen. Das ändert ja auch nicht die externe IP. Das habe ich nicht verstanden. Wie meinst Du das? Daniel
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
On Tue, Aug 22, 2006 at 11:30:43AM +0200, Daniel Musketa wrote: Danach nämlich sendet iptables alle UDP-Pakete von der Asterisk-Maschine von der alten IP aus! Wie kann denn sowas sein? AFAIK ist UDP zustandslos und Netfiler benutzt dafür Zeitfenster um die Pakete einer Verbindung zuzuordnen. Kann also durch aus sein das die alte quell IP-Adresse der Verbindung benutzt wird, statt die für jedes Paket neu zu ermitteln. -- Nicht Absicht unterstellen, wenn auch Dummheit ausreicht! pgpEPllIK10YH.pgp Description: PGP signature
Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel
On Tue, Aug 22, 2006 at 02:33:52PM +0200, Daniel Musketa wrote: Am Dienstag, 22. August 2006 14:21 schrieb Ulf Volmer: On Tue, Aug 22, 2006 at 02:07:31PM +0200, Daniel Musketa wrote: Am Dienstag, 22. August 2006 13:19 schrieb Ulf Volmer: Das klappt auch ... bis zum nächtlichen IP-Wechsel auf ppp0. Danach nämlich sendet iptables alle UDP-Pakete von der Asterisk-Maschine von der alten IP aus! Wie kann denn sowas sein? Du lädst aber schon die iptables- Befehle via /etc/ppp/ip-up.d neu? Nein, eigentlich nicht. Das mache ich aber auch nicht, wenn ich den Asterisk auf der LAN-Maschine mal zwei Minuten stoppe. Danach geht's ja auch ohne iptables-Rules neuzuladen. Das ändert ja auch nicht die externe IP. Das habe ich nicht verstanden. Wie meinst Du das? Ich meine nächtlichen IP-Wechsel auf ppp0. Daniel -- Ulf Volmer [EMAIL PROTECTED] +49-2271-837590 www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
Hallo Rüdiger, Rüdiger Noack, 18.08.2006 (d.m.y): Ich rede von Schutz vor potentiellen Angreifern, mit denen ich mich bereits in einem Netz befinde, weil ich mich z.B. per LAN jobbedingt in dieses Netz geklingt habe. Diesen Schutz kann man auch erreichen, indem man auf dem eigenen Rechner keine via Netzwerk zugaenglichen Dienste betreibt. Wenn man moechte, kann man mit iptables ja noch einen doppelten Boden schaffen. Gruss, Christian Schmidt -- Ein guter Propagandist kann sogar mithilfe der Wahrheit überzeugen. -- Wieslaw Brudzinzki signature.asc Description: Digital signature
Re: iptables standortbezogen - oder besser nicht?
Christian Schmidt schrieb: Diesen Schutz kann man auch erreichen, indem man auf dem eigenen Rechner keine via Netzwerk zugaenglichen Dienste betreibt. Man kann schon, aber so paranoid, dass ich mich selbst komplett aussperren will (Zugriff auf Notebook vom Desktop aus) bin ich nun auch nicht. ;-) Wenn man moechte, kann man mit iptables ja noch einen doppelten Boden schaffen. Eben. Die tollen Protokollmöglichkeiten auch nicht zu vergessen. Gruß Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
Hallo Rüdiger, Rüdiger Noack, 19.08.2006 (d.m.y): Christian Schmidt schrieb: Diesen Schutz kann man auch erreichen, indem man auf dem eigenen Rechner keine via Netzwerk zugaenglichen Dienste betreibt. Man kann schon, aber so paranoid, dass ich mich selbst komplett aussperren will (Zugriff auf Notebook vom Desktop aus) bin ich nun auch nicht. ;-) Naja, aber SSH bekommt man ja auch ohne iptables IMO hinreichend dicht... Wenn man moechte, kann man mit iptables ja noch einen doppelten Boden schaffen. Eben. Die tollen Protokollmöglichkeiten auch nicht zu vergessen. Wenn man nicht aufpasst, kann das aber in Eigen-DOS ausarten. ;-) Gruss, Christian Schmidt -- Wer nichts Böses tut, hat damit noch nichts Gutes getan. -- Karl Heinrich Waggerl signature.asc Description: Digital signature
Re: iptables standortbezogen - oder besser nicht?
Richard Mittendorfer [EMAIL PROTECTED]: Also sprach Dirk Ullrich [EMAIL PROTECTED] (Thu, 17 Aug 2006 20:18:59 +0200): 2006/8/12, Richard Mittendorfer [EMAIL PROTECTED]: Nimm eine MAC rule. Die Wahrscheinlichkeit das die in fremden Umgebungen passt geht gegen Null. -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT Das ist alles andere als sicher: Wenn jemand die MAC-Adresse rausbekommt, kann er sie bei den meisten Karten mit ifconfig interface hw ether mac adresse vortäuschen. Mir scheint, du hast die (unzitierte) Frage nicht recht verstanden. Dirk sl ritch Ach ja? War die Frage nicht die folgende (Zitat aus dem ursprünglichen Beitrag von Rüdiger N.): Die wichtigste: Innerhalb meines Heim-Netzes erlaube ich meinem Desktop natürlich uneingeschränkten Zugriff auf mein Notebook über Freigabe der IP-Adresse. Wenn ich diese Regel uneingeschränkt setze und ich mich mal in einem anderen Netz mit gleichen Adressen befinde, würde ich ja versehentlich unerwünschten Gästen den Zugang erlauben. Hat jemand ein paar Tipps, wie man hier vorgehen könnte? Wenn ja, dann bleibe ich bei meiner Antwort: Ein Angreifer braucht nur die MAC-Adresse des Rechners des anderen Netzes rausbekommen, dem der Zugriff erlaubt ist. Dirk
Re: iptables standortbezogen - oder besser nicht?
Also sprach Dirk Ullrich [EMAIL PROTECTED] (Fri, 18 Aug 2006 10:50:32 +0200): Die wichtigste: Innerhalb meines Heim-Netzes erlaube ich meinem Desktop natürlich uneingeschränkten Zugriff auf mein Notebook über Freigabe der IP-Adresse. Wenn ich diese Regel uneingeschränkt setze und ich mich mal in einem anderen Netz mit gleichen Adressen befinde, würde ich ja versehentlich unerwünschten Gästen den Zugang erlauben. Wenn ja, dann bleibe ich bei meiner Antwort: Ein Angreifer braucht nur die MAC-Adresse des Rechners des anderen Netzes rausbekommen, dem der Zugriff erlaubt ist. D.h. a) der Angreifer u.d. Notebook muessen sich im richtigen Netz befinden und b) der Angreifer muss die MAC des Rechners zuhause(!) beim OP wissen. MMn. halt keine wahrscheinliche Situation. Dirk sl ritch
Re: iptables standortbezogen - oder besser nicht?
2006/8/18, Richard Mittendorfer [EMAIL PROTECTED]: D.h. a) der Angreifer u.d. Notebook muessen sich im richtigen Netz befinden und b) der Angreifer muss die MAC des Rechners zuhause(!) beim OP wissen. MMn. halt keine wahrscheinliche Situation. Ich stimme Dir zu dass dies keine wahrscheinliche Situation ist. Trotzdem mache ich bei meinen mobilen Geräten Zugriffsberechtigungen von anderen Rechnern aus _nie_ von irgendwelchen statischen Parametern abhängig. Eine geeignete Authentifizierung lässt sich in einem solchen Fall immer sicherer machen. Dirk
Re: iptables standortbezogen - oder besser nicht?
Hi, Richard Mittendorfer wrote: Also sprach Dirk Ullrich [EMAIL PROTECTED] (Fri, 18 Aug 2006 10:50:32 +0200): Die wichtigste: Innerhalb meines Heim-Netzes erlaube ich meinem Desktop natürlich uneingeschränkten Zugriff auf mein Notebook über Freigabe der IP-Adresse. Wenn ich diese Regel uneingeschränkt setze und ich mich mal in einem anderen Netz mit gleichen Adressen befinde, würde ich ja versehentlich unerwünschten Gästen den Zugang erlauben. Wenn ja, dann bleibe ich bei meiner Antwort: Ein Angreifer braucht nur die MAC-Adresse des Rechners des anderen Netzes rausbekommen, dem der Zugriff erlaubt ist. D.h. a) der Angreifer u.d. Notebook muessen sich im richtigen Netz befinden und b) der Angreifer muss die MAC des Rechners zuhause(!) beim OP wissen. MMn. halt keine wahrscheinliche Situation. Aber es kann ja nicht schaden es sicherer zu machen. Ich verwende auf meinem Laptop dafür einen Portknocker (sadoor, [Sequenzen und keys]). -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
Also sprach Dirk Ullrich [EMAIL PROTECTED] (Fri, 18 Aug 2006 12:05:07 +0200): 2006/8/18, Richard Mittendorfer [EMAIL PROTECTED]: D.h. a) der Angreifer u.d. Notebook muessen sich im richtigen Netz befinden und b) der Angreifer muss die MAC des Rechners zuhause(!) beim OP wissen. MMn. halt keine wahrscheinliche Situation. Ich stimme Dir zu dass dies keine wahrscheinliche Situation ist. Trotzdem mache ich bei meinen mobilen Geräten Zugriffsberechtigungen von anderen Rechnern aus _nie_ von irgendwelchen statischen Parametern abhängig. Och, die sind bei mir statisch: sshd und das war's. Damit laesst sich schon so gut wie alles machen, sollts dennoch mal z.B. http sein: 'ssh host /etc/init.d/webfs start'. iptables laufen da oft gar nicht erst. Eine geeignete Authentifizierung lässt sich in einem solchen Fall immer sicherer machen. Durchaus, meistens zumindest. Es kommt halt darauf an welche Sicherheit ich auf besagtem Rechner brauche. Einen Rechner mit sensiblen Daten werd' ich klarerweise in kein fremdes Netz haengen oder ihm ein WLAN Interface spendieren. Dirk sl ritch
Re: iptables standortbezogen - oder besser nicht?
Also sprach Joerg Zimmermann [EMAIL PROTECTED] (Fri, 18 Aug 2006 12:18:02 +0200): Hi, Hoi, Richard Mittendorfer wrote: Also sprach Dirk Ullrich [EMAIL PROTECTED] (Fri, 18 Aug 2006 10:50:32 +0200): Die wichtigste: Innerhalb meines Heim-Netzes erlaube ich meinem Desktop natürlich uneingeschränkten Zugriff auf mein Notebook über Freigabe der IP-Adresse. Wenn ich diese Regel uneingeschränkt setze und ich mich mal in einem anderen Netz mit gleichen Adressen befinde, würde ich ja versehentlich unerwünschten Gästen den Zugang erlauben. Wenn ja, dann bleibe ich bei meiner Antwort: Ein Angreifer braucht nur die MAC-Adresse des Rechners des anderen Netzes rausbekommen, dem der Zugriff erlaubt ist. D.h. a) der Angreifer u.d. Notebook muessen sich im richtigen Netz befinden und b) der Angreifer muss die MAC des Rechners zuhause(!) beim OP wissen. MMn. halt keine wahrscheinliche Situation. Aber es kann ja nicht schaden es sicherer zu machen. Kann natuerlich nicht schaden. Eine automatische Moeglichkeit waer' ein kleines Skript, von z.B. if-up aufgerufen, das je nach Umgebung die rules setzt. Kein grosser Aufwand und vermutlich gibt's dafuer auch schon ein Paket - whereami vielleicht. Ich verwende auf meinem Laptop dafür einen Portknocker (sadoor, [Sequenzen und keys]). Den knockd hab ich schon ein paar Jahre im Einsatz. Allerdings nur um bei entfernten Rechner den ssh zu oeffnen - fuer administratives. -Jörg sl ritch
Re: iptables standortbezogen - oder besser nicht?
Dirk Ullrich schrieb: 2006/8/18, Richard Mittendorfer [EMAIL PROTECTED]: D.h. a) der Angreifer u.d. Notebook muessen sich im richtigen Netz befinden und b) der Angreifer muss die MAC des Rechners zuhause(!) beim OP wissen. MMn. halt keine wahrscheinliche Situation. Ich stimme Dir zu dass dies keine wahrscheinliche Situation ist. Trotzdem mache ich bei meinen mobilen Geräten Zugriffsberechtigungen von anderen Rechnern aus _nie_ von irgendwelchen statischen Parametern abhängig. Eine geeignete Authentifizierung lässt sich in einem solchen Fall immer sicherer machen. Dirk Also: Ich bin mal mit meinem Zaurus + Kismet + Wellenreiter in meiner Strasse auf und ab gegangen und habe alle Netze und die Mac-Adressen mit geschrieben. Das einzige was mich jetzt bei Dir aufhalten könnte wäre WAP. Gut das Du das umgestellt hast! Grusz P.S.: Es war eine Adresse dabei, deren ID war erdgeschossrechts, WEP verschlüsselt! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
Dirk Ullrich schrieb: Trotzdem mache ich bei meinen mobilen Geräten Zugriffsberechtigungen von anderen Rechnern aus _nie_ von irgendwelchen statischen Parametern abhängig. Eine geeignete Authentifizierung lässt sich in einem solchen Fall immer sicherer machen. Ich nehme gern konkrete Anregungen entgegen. ;-) Wie ich im Ursprungsbeitrag erwähnte, hatte ich standortabhängige iptables-Regeln gebaut. Leider funktioniert die automatische Erkennung von WPA-Netzen nicht, ich muss also manuell die passenden Regeln (bzw. das Script mit dem Regelsatz) starten. Dazu bin ich auf Dauer einfach zu bequem. Wenn mir jemand sagen könnte, wie er das automatisiert, wäre ich sehr dankbar. Andererseits nutze ich nicht selten öffentliche Hotspots der großen Provider, wie sie z.B (natürlich kostenpflichtig) in Hotels angeboten werden. Das sind meist offene Netze. Um diese Netze zu nutzen, kann man sich nicht komplett abschotten, sonst sind diese Netze nicht nutzbar. Ich hatte mir vor Jahren (zu woody-Zeiten) mal verschiedene runlevel für verschiedene Vertrauensstufen gebaut, dies später aber wieder aufgegeben. Mir fällt gerade nicht ein, warum eigentlich. Vielleicht sollte ich dieses Projekt wieder aufleben lassen. Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
Richard Mittendorfer schrieb: Einen Rechner mit sensiblen Daten werd' ich klarerweise in kein fremdes Netz haengen oder ihm ein WLAN Interface spendieren. Auf einem beruflich genutzten bzw. Firmendaten befinden sich nun einmal sensible Daten, sonst könnte man es gleich zuhause lassen. Und genau dieses Notebook brauche ich auch in Kundennutzen, sonst kann ich dort nicht arbeiten. Mit WLAN hat das nichts zu tun, es hängt normalerweise per LAN in diesen Netzen. Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
Max Muxe schrieb: Also: Ich bin mal mit meinem Zaurus + Kismet + Wellenreiter in meiner Strasse auf und ab gegangen und habe alle Netze und die Mac-Adressen mit geschrieben. Das einzige was mich jetzt bei Dir aufhalten könnte wäre WAP. Gut das Du das umgestellt hast! Dies hat mit meinem Anliegen nichts zu tun. Ich rede von Schutz vor potentiellen Angreifern, mit denen ich mich bereits in einem Netz befinde, weil ich mich z.B. per LAN jobbedingt in dieses Netz geklingt habe. Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
Richard Mittendorfer schrieb: Kann natuerlich nicht schaden. Eine automatische Moeglichkeit waer' ein kleines Skript, von z.B. if-up aufgerufen, das je nach Umgebung die rules setzt. Kein grosser Aufwand und vermutlich gibt's dafuer auch schon ein Paket - whereami vielleicht. Wie schon erwähnt, das war ursprünglich mein Ansatz. Nur benötige einen Wächter, der mich benachrichtigt, wenn ich mich in ein WPA-Netz eingeklingt habe (genauer gesagt, wenn ich mein WLAN-Adapter in solch einem Netz aktiviert habe). Nix Wächter - nix Automatismus. :-( -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
Rüdiger Noack schrieb: Max Muxe schrieb: Also: Ich bin mal mit meinem Zaurus + Kismet + Wellenreiter in meiner Strasse auf und ab gegangen und habe alle Netze und die Mac-Adressen mit geschrieben. Das einzige was mich jetzt bei Dir aufhalten könnte wäre WAP. Gut das Du das umgestellt hast! Dies hat mit meinem Anliegen nichts zu tun. Ich rede von Schutz vor potentiellen Angreifern, mit denen ich mich bereits in einem Netz befinde, weil ich mich z.B. per LAN jobbedingt in dieses Netz geklingt habe. Sorry, Rüdiger, ich nahm an: Du bist in beiden Fällen im WLAN unterwegs. Grusz -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
2006/8/12, Richard Mittendorfer [EMAIL PROTECTED]: Nimm eine MAC rule. Die Wahrscheinlichkeit das die in fremden Umgebungen passt geht gegen Null. -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT Das ist alles andere als sicher: Wenn jemand die MAC-Adresse rausbekommt, kann er sie bei den meisten Karten mit ifconfig interface hw ether mac adresse vortäuschen. Dirk
Re: iptables standortbezogen - oder besser nicht?
Also sprach Dirk Ullrich [EMAIL PROTECTED] (Thu, 17 Aug 2006 20:18:59 +0200): 2006/8/12, Richard Mittendorfer [EMAIL PROTECTED]: Nimm eine MAC rule. Die Wahrscheinlichkeit das die in fremden Umgebungen passt geht gegen Null. -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT Das ist alles andere als sicher: Wenn jemand die MAC-Adresse rausbekommt, kann er sie bei den meisten Karten mit ifconfig interface hw ether mac adresse vortäuschen. Mir scheint, du hast die (unzitierte) Frage nicht recht verstanden. Dirk sl ritch
Re: iptables standortbezogen - oder besser nicht?
Also sprach Rüdiger Noack [EMAIL PROTECTED] (Sat, 12 Aug 2006 07:05:41 +0200): Moin Hi, Die wichtigste: Innerhalb meines Heim-Netzes erlaube ich meinem Desktop natürlich uneingeschränkten Zugriff auf mein Notebook über Freigabe der IP-Adresse. Wenn ich diese Regel uneingeschränkt setze und ich mich mal in einem anderen Netz mit gleichen Adressen befinde, würde ich ja versehentlich unerwünschten Gästen den Zugang erlauben. Hat jemand ein paar Tipps, wie man hier vorgehen könnte? Nimm eine MAC rule. Die Wahrscheinlichkeit das die in fremden Umgebungen passt geht gegen Null. -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT Danke und Gruß Rüdiger sl ritch
Re: iptables standortbezogen - oder besser nicht?
Richard Mittendorfer schrieb: Nimm eine MAC rule. Die Wahrscheinlichkeit das die in fremden Umgebungen passt geht gegen Null. -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT Danke, das ist überzeugend. Rüdiger, der sich mal wieder die iptables-Möglichkeiten ansehen muss -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables nach ipchaines portieren
Sven Hartge wrote: Aber: Alle verbreiteten VServer-Lösungen basieren auf Linux 2.6.x und dort gibt es eben iptables. Bei mir läuft aber (leider) ein 2.4 er Kernel genau dieser - uname -a Linux vserver523 2.4.29-vs1.2.10 #1 SMP Tue Jan 25 12:05:19 CET 2005 i686 GNU/Linux Leider läßt du dich nicht über den Anbieter aus, so daß man nichts nähere über die grundlegende Möglichkeit, eigenen Filter anzulegen, sagen kann. Der Provider ist serverflex THX Marco -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables nach ipchaines portieren
Am Mittwoch 26 Juli 2006 18:24 schrieb Marco Estrada Martinez: Bei mir läuft aber (leider) ein 2.4 er Kernel genau dieser - Auch 2.4 sollte eigentlich iptables können. Da konnte man aber IIRC noch das als depreciated gekennzeichnete ipchains verwenden. Gruß Chris -- A: because it distrupts the normal process of thought Q: why is top posting frowned upon
Re: iptables nach ipchaines portieren
Christian Frommeyer [EMAIL PROTECTED] wrote: Am Mittwoch 26 Juli 2006 18:24 schrieb Marco Estrada Martinez: Bei mir läuft aber (leider) ein 2.4 er Kernel genau dieser - Auch 2.4 sollte eigentlich iptables können. Da konnte man aber IIRC noch das als depreciated gekennzeichnete ipchains verwenden. Hmm, wie war das noch: 2.0: ipfwadm, ipmasqadm 2.2: ipchains 2.4: iptables 2.6 iptables oder ipchains, je nach Konfiguration Oder erinnere ich mich falsch? S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://www.svenhartge.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables nach ipchaines portieren
Marco Estrada Martinez [EMAIL PROTECTED] wrote: Sven Hartge wrote: Aber: Alle verbreiteten VServer-Lösungen basieren auf Linux 2.6.x und dort gibt es eben iptables. Bei mir läuft aber (leider) ein 2.4 er Kernel genau dieser - uname -a Linux vserver523 2.4.29-vs1.2.10 #1 SMP Tue Jan 25 12:05:19 CET 2005 i686 GNU/Linux Mach doch einmal ein ipchains -L. Wenn dort eine Ausgabe zurückkommt und keine Fehlermeldung, dann geht es immerhin. Vermutlich dürfest du aber einen Fehler bekommen und damit war es das dann eh. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://www.svenhartge.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables nach ipchaines portieren
Hallo Sven Hartge ([EMAIL PROTECTED]) wrote: Christian Frommeyer [EMAIL PROTECTED] wrote: Am Mittwoch 26 Juli 2006 18:24 schrieb Marco Estrada Martinez: Bei mir läuft aber (leider) ein 2.4 er Kernel genau dieser - Auch 2.4 sollte eigentlich iptables können. Da konnte man aber IIRC noch das als depreciated gekennzeichnete ipchains verwenden. Hmm, wie war das noch: 2.0: ipfwadm, ipmasqadm 2.2: ipchains 2.4: iptables 2.6 iptables oder ipchains, je nach Konfiguration Oder erinnere ich mich falsch? 2.4 kann auch ipchains, es gibt dafür ein Kompatibilitätsmodul. Ebenso ipfwadm. Bei meinem (aktuellen) 2.6er kann ich davon nichts mehr finden, frühere Kernel hatten das aber auch. Laut packages.debian.org haben unter anderem die 2.6.8er Pakete für Sarge noch ipchains.ko dabei, genauso wie ipfwadm.ko. Grüße Andreas Janssen -- Andreas Janssen [EMAIL PROTECTED] PGP-Key-ID: 0xDC801674 ICQ #17079270 Registered Linux User #267976 http://www.andreas-janssen.de/debian-tipps-sarge.html -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables nach ipchaines portieren
Jens Schüßler [EMAIL PROTECTED] wrote: * Sven Hartge [EMAIL PROTECTED] wrote: Christian Frommeyer [EMAIL PROTECTED] wrote: Am Mittwoch 26 Juli 2006 18:24 schrieb Marco Estrada Martinez: Bei mir läuft aber (leider) ein 2.4 er Kernel genau dieser - Auch 2.4 sollte eigentlich iptables können. Da konnte man aber IIRC noch das als depreciated gekennzeichnete ipchains verwenden. Hmm, wie war das noch: 2.0: ipfwadm, ipmasqadm 2.2: ipchains 2.4: iptables 2.6 iptables oder ipchains, je nach Konfiguration Oder erinnere ich mich falsch? 2.4 kann auch beides und bei den neueren 2.6er-Kerneln (AFAIK seit 2.6.9) ist ipchains rausgeflogen. Gut. Seit 2.4 habe ich mich nie wieder mit ipchains befasst, daher war die Erinnerung, bis wann der entsprechende Support in Netfilter war, etwas verblasst. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://www.svenhartge.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables nach ipchaines portieren
Marco Estrada Martinez [EMAIL PROTECTED] wrote: ich habe einen vserver. Nun ist dort weder im kernel noch als packet iptables installiert. Ich kenne keine VServer-Variante, die dir eigene Filter-Regeln ermöglicht (was nicht heissen soll, das es dies nicht gibt.) Aber: Alle verbreiteten VServer-Lösungen basieren auf Linux 2.6.x und dort gibt es eben iptables. Leider läßt du dich nicht über den Anbieter aus, so daß man nichts nähere über die grundlegende Möglichkeit, eigenen Filter anzulegen, sagen kann. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://www.svenhartge.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables
am 21.07.2006, um 15:17:14 +0200 mailte Jan Dinger folgendes: Ok, danke das werde ich mir mal zugemühte führen. Dann klappt das bestimmt auch. Führe Dir *bitte* auch http://learn.to/quote zu Gemüte, falls Du weiterhin hier Hilfe erwartest. Richard Mittendorfer wrote: TOFU entsorgt. Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47215, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables
Am Freitag, 21. Juli 2006 12:00 schrieb Jan Dinger: Gut danke für die schnelle Antwort nur ein Problem: # iptables -A INPUT -i $EXTDEV -p tcp --dport 22 -m state --state NEW -j ACCEPT Bad argument `tcp' Try `iptables -h' or 'iptables --help' for more information. Was ist da faul? Vermutlich hast du $EXTDEV nicht gesetzt. Das ist eine Variable und die braucht Inhalt. Wenn sie leer ist könnte (dürfte nicht, aber alles andere scheidet aus) als Wert für das Device -p genommen werden. Hat zwar keinen Sinn, aber dann würde als nächstes tcp stehen, und das hat dann einen Syntax-Error zur Folge. -- MfG usw. Werner Mahr registered Linuxuser: 303822 pgpYuww6HRwtz.pgp Description: PGP signature
Re: iptables
am 21.07.2006, um 11:43:40 +0200 mailte Jan Dinger folgendes: Ich möchte das von haus aus die INPUT chain REJECTET wird. (Da weiß ich den Syntax nicht) Es geht als Policy nur DROP. Macht aber nix, setze das, dann erlaube, was zu erlauben ist, dann Regeln für REJECT. Fertisch. Oder mir auch verbesserungs vorschläge geben? Die Doku auf der Homepage von iptables hast Du schon gefunden? Da steht IIRC das quasi als Bleistift drin. Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47215, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables
Jan Dinger schrieb: Ich möchte das von haus aus die INPUT chain REJECTET wird. iptables -P INPUT REJECT und dann will ich die bestimmten ports freischalten mit: iptables -A INPUT -d xxx.xxx.xxx.xxx -p tcp --dport 22 -j ACCEPT iptables -A INPUT -i $EXTDEV -p tcp --dport 22 -m state --state NEW -j ACCEPT Gruß Stefan Bauer PS: Wenn du des öfteren mit Firewalls zu tun hast, rate ich dir das Buch von Ralf Spenneberg - Linux-Firewalls mit iptables Co. Addison Wesley 2006 gibts gebraucht billig bei amazon.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables
Gut danke für die schnelle Antwort nur ein Problem: # iptables -A INPUT -i $EXTDEV -p tcp --dport 22 -m state --state NEW -j ACCEPT Bad argument `tcp' Try `iptables -h' or 'iptables --help' for more information. Was ist da faul? Dann noch was wenn ich INPUT auf Drop gesetzt habe, wozu brauche ich dann noch REJECT funktionen? weil es ist doch quasi alles geblockt außer was ich freigebe. Mein problem ist einfach das es für eine Protfreigabe mehere arten der schreibweise gibt und ich weiß nicht was die beste ist. Ich habe es bis jetzt nur flüchtig gemacht. mfg Jan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables
Andreas Kretschmer schrieb: Es geht als Policy nur DROP. Macht aber nix, setze das, dann erlaube, was zu erlauben ist, dann Regeln für REJECT. Fertisch. mein fehler, sorry, ich werd das buch nochmal genauer lesen :) gruß stefan bauer -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables
am 21.07.2006, um 11:53:31 +0200 mailte Stefan Bauer folgendes: Jan Dinger schrieb: Ich möchte das von haus aus die INPUT chain REJECTET wird. iptables -P INPUT REJECT iptables: Bad policy name und dann will ich die bestimmten ports freischalten mit: iptables -A INPUT -d xxx.xxx.xxx.xxx -p tcp --dport 22 -j ACCEPT iptables -A INPUT -i $EXTDEV -p tcp --dport 22 -m state --state NEW -j ACCEPT Das reicht nicht. Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47215, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables
Jan Dinger schrieb: Hi, ich möchte meine iptables konfigurieren, habe aber ein paar kleine probs bzw weiß den syntax nicht so richtig. # iptables --list Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination das ist mein derzeitiger stand. Ich möchte das von haus aus die INPUT chain REJECTET wird. (Da weiß ich den Syntax nicht) und dann will ich die bestimmten ports freischalten mit: iptables -A INPUT -d xxx.xxx.xxx.xxx -p tcp --dport 22 -j ACCEPT Kann mir jemand helfen? Oder mir auch verbesserungs vorschläge geben? mfg Jan Für den ersten Einstieg: http://www.harry.homelinux.org/modules.php?name=iptables_Generator Kann (nur) ein erster Schritt sein, aber FWs sind immer sehr individuell. Grusz aus der Enklave -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables
On Fri, Jul 21, 2006 at 11:53:31AM +0200, Stefan Bauer wrote: iptables -P INPUT REJECT pc01:~# iptables -P INPUT REJECT iptables: Bad policy name REJECT ist nicht erlaubt als Default-Policy, nur ACCEPT und DROP. iptables -A INPUT -i $EXTDEV -p tcp --dport 22 -m state --state NEW -j ACCEPT Da fehlt besser noch ein --syn hinter dem -p tcp. Ist besser (siehe die Diskussion auf debian-firewall). Und jetzt fehlen die Antworten: iptables -A INPUT -m state –state ESTABLISHED -j ACCEPT iptables -A OUTPUT -m state –state ESTABLISHED -j ACCEPT Shade and sweet water! Stephan -- | Stephan SeitzE-Mail: [EMAIL PROTECTED] | | PGP Public Keys: http://fsing.rootsland.net/~stse/pgp.html | signature.asc Description: Digital signature
Re: iptables
am 21.07.2006, um 12:00:50 +0200 mailte Jan Dinger folgendes: Gut danke für die schnelle Antwort nur ein Problem: # iptables -A INPUT -i $EXTDEV -p tcp --dport 22 -m state --state NEW -j ACCEPT Bad argument `tcp' Try `iptables -h' or 'iptables --help' for more information. Was ist da faul? Ich sehe da nix flasches... möglicherweise fehlt Dir ein nötiges Modul. Dann noch was wenn ich INPUT auf Drop gesetzt habe, wozu brauche ich dann noch REJECT funktionen? weil es ist doch quasi alles geblockt außer DROP ist böse. Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47215, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables
Hi, ich habe jetzt meine iptables eingerichtet aber nix geht :) komme via ssh nicht mehr drauf und http (port 80) geht auch net mehr :( wo ist da mein fehler? # iptables --list Chain INPUT (policy DROP) target prot opt source destination ACCEPT tcp -- anywhere foo.tdl.de tcp dpt:ssh state NEW ACCEPT tcp -- anywhere foo.tdl.de tcp dpt:www state NEW Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT tcp -- anywhere anywheretcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5 ACCEPT tcp -- anywhere anywheretcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5 ACCEPT icmp -- anywhere anywhereicmp echo-request limit: avg 1/sec burst 5 LOGall -- anywhere anywherelimit: avg 3/hour burst 5 LOG level warning Chain OUTPUT (policy ACCEPT) target prot opt source destination iptables -A INPUT -p tcp --dport 80 -d xxx.xxx.xxx.xxx -m state --state NEW -j ACCEPT mfg Jan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables
Dein reply to: ist gesetzt. Also sprach Jan Dinger [EMAIL PROTECTED] (Fri, 21 Jul 2006 14:53:47 +0200): Hi, ich habe jetzt meine iptables eingerichtet aber nix geht :) komme via ssh nicht mehr drauf und http (port 80) geht auch net mehr :( wo ist da mein fehler? # iptables --list iptables -L -v ist besser geeignet. Chain INPUT (policy DROP) target prot opt source destination ACCEPT tcp -- anywhere foo.tdl.de tcp dpt:ssh state NEW ACCEPT tcp -- anywhere foo.tdl.de tcp dpt:www state NEW ESTABLISHED,RELATED ebenfalls ACCEPT. foo.tld.de ist aber doch dieser Rechner? Wenn nicht, gehoert hier wohl eine REDIRECT oder FORWARD rule gelegt. Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT tcp -- anywhere anywheretcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5 ACCEPT tcp -- anywhere anywheretcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5 ACCEPT icmp -- anywhere anywhereicmp echo-request limit: avg 1/sec burst 5 LOGall -- anywhere anywherelimit: avg 3/hour burst 5 LOG level warning Der Zweck dieser rules entzieht sich mir. Chain OUTPUT (policy ACCEPT) target prot opt source destination iptables -A INPUT -p tcp --dport 80 -d xxx.xxx.xxx.xxx -m state --state NEW -j ACCEPT NEW ist eine Verbindung, wenn sie neu ist. Eine vom Tracking als ESTABLISHED oder RELATED angesehene Verbindung _nicht_ mehr. Gute Docs sind auf www.netfilter.org zu finden. Ich empfehle dir dringend diese zu lesen (und zu verstehen) -- Eine (funktionierende) Firewall erwartet sowas. ;-) mfg Jan sl ritch -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables
Ok, danke das werde ich mir mal zugemühte führen. Dann klappt das bestimmt auch. Richard Mittendorfer wrote: Dein reply to: ist gesetzt. Also sprach Jan Dinger [EMAIL PROTECTED] (Fri, 21 Jul 2006 14:53:47 +0200): Hi, ich habe jetzt meine iptables eingerichtet aber nix geht :) komme via ssh nicht mehr drauf und http (port 80) geht auch net mehr :( wo ist da mein fehler? # iptables --list iptables -L -v ist besser geeignet. Chain INPUT (policy DROP) target prot opt source destination ACCEPT tcp -- anywhere foo.tdl.de tcp dpt:ssh state NEW ACCEPT tcp -- anywhere foo.tdl.de tcp dpt:www state NEW ESTABLISHED,RELATED ebenfalls ACCEPT. foo.tld.de ist aber doch dieser Rechner? Wenn nicht, gehoert hier wohl eine REDIRECT oder FORWARD rule gelegt. Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT tcp -- anywhere anywheretcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5 ACCEPT tcp -- anywhere anywheretcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5 ACCEPT icmp -- anywhere anywhereicmp echo-request limit: avg 1/sec burst 5 LOGall -- anywhere anywherelimit: avg 3/hour burst 5 LOG level warning Der Zweck dieser rules entzieht sich mir. Chain OUTPUT (policy ACCEPT) target prot opt source destination iptables -A INPUT -p tcp --dport 80 -d xxx.xxx.xxx.xxx -m state --state NEW -j ACCEPT NEW ist eine Verbindung, wenn sie neu ist. Eine vom Tracking als ESTABLISHED oder RELATED angesehene Verbindung _nicht_ mehr. Gute Docs sind auf www.netfilter.org zu finden. Ich empfehle dir dringend diese zu lesen (und zu verstehen) -- Eine (funktionierende) Firewall erwartet sowas. ;-) mfg Jan sl ritch -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Iptables automatisch bereinigen
[EMAIL PROTECTED] schrieb: Guten Tag! Hallo Ich suche nach einer Lösung, um automatisch angelegte Iptables (durch das IDS portsentry) regelmäßig wieder zu entfernen. Leider bin ich auch nach mehrmaligem Suchen nicht fündig geworden. Es würde schon reichen, wenn alle 24h (cronjob) alle entrys bis auf sagen wir mal die 20 Neuesten gelöscht würden. Ziehen viele Einträge stark an der Leistung eines systems? Ein kleiner Suchtipp wäre schon prima! Leg dir n Script mit deinen FW-Regeln nach etc/init.d und schreib an den Anfang des Scripts: cat /proc/net/ip_tables_names | while read table; do iptables -t $table -L -n | while read c chain rest; do if [ X$c = XChain ] ; then iptables -t $table -F $chain fi done iptables -t $table -X done Das sollte helfen Hat jemand Erfahrung mit portsentry? Getstartet mit dem Parameter -atcp (advanced mode) stürzen die Server nach ca. 1 Woche ab, da keine Sockets mehr vorhanden sind. Auch da wäre ich für Tipps dankbar, da ich sehr gerne gerade die StealthScans blocken würde. Schrieibe danach deine Regeln rein und das mal anhängen und scannen :-) iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP #iptables -A INPUT -p tcp -m state --state INVALID -m limit --limit 10/m -j LOG --log-level info iptables -N SYNFLOOD iptables -A INPUT -p tcp --syn -j SYNFLOOD iptables -A SYNFLOOD -m limit --limit 1/s --limit-burst 4 -j RETURN iptables -A SYNFLOOD -j DROP IMHO: Weitere Anforderungen kenne ich nicht, aber Portsentry brauchste wegen den Scans nicht zu nutzen. dem Vorschlag mit Cron schließe ich mich an: Schreib das Zeugs alles in n Script, leg es am besten in init.d ab (dann wird s nachm booten ausgeführt) und lass es Cron von Zeit zu Zeit ausführen Vielen Dank schonmal! Schon recht Felix Grüßle Thomas ___ Telefonate ohne weitere Kosten vom PC zum PC: http://messenger.yahoo.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables und kernel logging
On Thu, Jun 22, 2006 at 10:46:07AM +0200, Peter Velan wrote: Kann mir jemand bitte bei der Deutung der Logeinträge helfen? Das sieht nach DHCP aus, ob Client oder Server sehe ich grad nicht. Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables und kernel logging
Peter Velan schreibt: seit einigen Tagen verursacht iptables folgende regelmäßige - exakt alle 10 Minuten - Einträge in messages: Jun 20 05:42:17 ubx kernel: [4512963.131000] drop eth1: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:20:6f:11:0c:e8:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=60 ID=51016 PROTO=UDP SPT=68 DPT=67 LEN=308 [...] Kann mir jemand bitte bei der Deutung der Logeinträge helfen? Da scheint noch irgendein Gerät im Netz zu sein, dass alle zehn Minuten versucht, per DHCP eine IP-Adresse zu bekommen. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables und kernel logging
Andreas Vögele wrote: Peter Velan schreibt: seit einigen Tagen verursacht iptables folgende regelmäßige - exakt alle 10 Minuten - Einträge in messages: Jun 20 05:42:17 ubx kernel: [4512963.131000] drop eth1: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:20:6f:11:0c:e8:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=60 ID=51016 PROTO=UDP SPT=68 DPT=67 LEN=308 [...] Kann mir jemand bitte bei der Deutung der Logeinträge helfen? Da scheint noch irgendein Gerät im Netz zu sein, dass alle zehn Minuten versucht, per DHCP eine IP-Adresse zu bekommen. BTW, laut URL: http://standards.ieee.org/regauth/oui/index.shtml stammt die Ethernetkarte dieses Geräts von einer gewissen FLOWPOINT CORPORATION. Googelt man nach diesem Unternehmen, landet man bei Siemens auf einer Webseite zum Thema Broadband Access. Kann es sein, dass in den letzten Tagen ein zusätzlicher Router installiert worden ist? -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables und kernel logging
am 2006-06-22 10:54 schrieb Andreas Vögele: Peter Velan schreibt: seit einigen Tagen verursacht iptables folgende regelmäßige - exakt alle 10 Minuten - Einträge in messages: Jun 20 05:42:17 ubx kernel: [4512963.131000] drop eth1: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:20:6f:11:0c:e8:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=60 ID=51016 PROTO=UDP SPT=68 DPT=67 LEN=308 [...] Kann mir jemand bitte bei der Deutung der Logeinträge helfen? Da scheint noch irgendein Gerät im Netz zu sein, dass alle zehn Minuten versucht, per DHCP eine IP-Adresse zu bekommen. Guter Hinweis. Sch...-Automatismen! Im selben Segment hängt ein Windows 2003 Server, bei dem ich schon zigmal die DHCP-Sucherei abgeschaltet habe. Also dann, aufs neue mit der Ratte irgendwelche Häckchen angeklickt (und nach dem nächsten Neustart hat der Windows Server bestimmt wieder den DHCP-Sucher aktiviert). Danke für den Hinweis, Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables und kernel logging
am 2006-06-22 11:28 schrieb Peter Velan: am 2006-06-22 10:54 schrieb Andreas Vögele: Peter Velan schreibt: seit einigen Tagen verursacht iptables folgende regelmäßige - exakt alle 10 Minuten - Einträge in messages: Jun 20 05:42:17 ubx kernel: [4512963.131000] drop eth1: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:20:6f:11:0c:e8:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=60 ID=51016 PROTO=UDP SPT=68 DPT=67 LEN=308 [...] Kann mir jemand bitte bei der Deutung der Logeinträge helfen? Da scheint noch irgendein Gerät im Netz zu sein, dass alle zehn Minuten versucht, per DHCP eine IP-Adresse zu bekommen. Guter Hinweis. Sch...-Automatismen! Im selben Segment hängt ein Windows 2003 Server, bei dem ich schon zigmal die DHCP-Sucherei abgeschaltet habe. Also dann, aufs neue mit der Ratte irgendwelche Häckchen angeklickt (und nach dem nächsten Neustart hat der Windows Server bestimmt wieder den DHCP-Sucher aktiviert). Ja, DHCP-Sucherei war auf dem Windows Server aktiviert, ausgeknippst. Leider kommen die Logeinträge immer noch. Letzten Freitag hatten wir hier einen satten Stromausfall und es wurden viele rechner neu gestartet, und da in dem Segment auch andere Leute ihre Rechner (vermutlich in der Mehrzahl mit MS-Betriebssystem) haben, nehme ich an, dass die DHCP-Sucherei von einer anderen Kiste kommt. Gibt es eine Möglichkeit dem Knilch auf die Schliche zu kommen, also quasi irgendwas das MAC - IP auflöst? Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables und kernel logging
am 2006-06-22 11:10 schrieb Andreas Vögele: Andreas Vögele wrote: Peter Velan schreibt: seit einigen Tagen verursacht iptables folgende regelmäßige - exakt alle 10 Minuten - Einträge in messages: Jun 20 05:42:17 ubx kernel: [4512963.131000] drop eth1: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:20:6f:11:0c:e8:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=60 ID=51016 PROTO=UDP SPT=68 DPT=67 LEN=308 [...] Kann mir jemand bitte bei der Deutung der Logeinträge helfen? Da scheint noch irgendein Gerät im Netz zu sein, dass alle zehn Minuten versucht, per DHCP eine IP-Adresse zu bekommen. BTW, laut URL: http://standards.ieee.org/regauth/oui/index.shtml Interessant! Welchen Part der MAC gebe ich da ins Suchfenster ein? Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables und kernel logging
Also sprach Peter Velan [EMAIL PROTECTED] (Thu, 22 Jun 2006 11:48:59 +0200): Jun 20 05:42:17 ubx kernel: [4512963.131000] drop eth1: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:20:6f:11:0c:e8:08:00 SRC=0.0.0.0 ^ DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=60 ID=51016 PROTO=UDP SPT=68 DPT=67 LEN=308 [...] Gibt es eine Möglichkeit dem Knilch auf die Schliche zu kommen, also quasi irgendwas das MAC - IP auflöst? Das ist die MAC der sendenden Karte. # arp Peter sl ritch
Re: iptables und kernel logging
Hallo Peter, Peter Velan, 22.06.2006 (d.m.y): Gibt es eine Möglichkeit dem Knilch auf die Schliche zu kommen, also quasi irgendwas das MAC - IP auflöst? Eine Moeglichkeit waere arp. Dazu muesstest Du aber die IP-Adresse kennen. Falls Ihr da managebare Switches einsetzt, koennte man auch da nachsehen (lassen), an welchem Interface der Delinquent haengt. Dann muss man nur noch die Kabel verfolgen... Gruss, Christian Schmidt -- Hallo Virtueller Kuschler! signature.asc Description: Digital signature
Re: iptables und kernel logging
am 2006-06-22 12:05 schrieb Christian Schmidt: Peter Velan, 22.06.2006 (d.m.y): Gibt es eine Möglichkeit dem Knilch auf die Schliche zu kommen, also quasi irgendwas das MAC - IP auflöst? Eine Moeglichkeit waere arp. Dazu muesstest Du aber die IP-Adresse kennen. Falls Ihr da managebare Switches einsetzt, koennte man auch da nachsehen (lassen), an welchem Interface der Delinquent haengt. Dann muss man nur noch die Kabel verfolgen... Naja unser ISP Mann ist schon gut ausgelastet und mein Problem ist eher eine kleine Unpässlichkeit. Ich schneide jetzt mal die DHCP-Sucherei mit Ethereal mit und mal sehen ob da nicht ein Hinweis auf den verzweifelt suchenden zu finden sein wird. Ciao, Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Re: iptables und kernel logging
Hi, - original Nachricht Von: Peter Velan [EMAIL PROTECTED] am 2006-06-22 11:10 schrieb Andreas Vögele: Andreas Vögele wrote: Peter Velan schreibt: seit einigen Tagen verursacht iptables folgende regelmäßige - exakt alle 10 Minuten - Einträge in messages: Jun 20 05:42:17 ubx kernel: [4512963.131000] drop eth1: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:20:6f:11:0c:e8:08:00 SRC=0.0.0.0 Die ersten sechs (ff:ff:ff:ff:ff:ff) sind die MAC des Ziels Die zweiten sechs (00:20:6f::11:0c) sind die MAC der Quelle Die letzten beiden (08:00) sind der Frametyp DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=60 ID=51016 PROTO=UDP SPT=68 DPT=67 LEN=308 [...] Kann mir jemand bitte bei der Deutung der Logeinträge helfen? Da scheint noch irgendein Gerät im Netz zu sein, dass alle zehn Minuten versucht, per DHCP eine IP-Adresse zu bekommen. Und das Geraet könnte daher von der FLOWPOINT CORPORATION sein. hth Reinhold
Re: iptables und kernel logging
Also sprach Dirk Salva [EMAIL PROTECTED] (Thu, 22 Jun 2006 15:39:25 +0200): On Thu, Jun 22, 2006 at 12:08:56PM +0200, Richard Mittendorfer wrote: Also sprach Peter Velan [EMAIL PROTECTED] (Thu, 22 Jun 2006 11:48:59 +0200): Jun 20 05:42:17 ubx kernel: [4512963.131000] drop eth1: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:20:6f:11:0c:e8:08:00 SRC=0.0.0.0 ^ [...] Das ist die MAC der sendenden Karte. Ich bin offensichtlich zu doof dazu, bei mir kommt in beiden Eingabefeldern von http://standards.ieee.org/regauth/oui/index.shtml nur, daß die (MAC-)Adresse nicht bekannt ist. 00-20-6f ergibt: 00-20-6F (hex)FLOWPOINT CORPORATION 00206F (base 16)FLOWPOINT CORPORATION 7291 CORONADO DRIVE, STE# 4 SAN JOSE CA 95129 UNITED STATES Die hinteren Ziffern hast du aber schon weggelassen? Nur die ersten drei Felder spezifizieren den Hersteller, die Anderen die Karte/Serie. ciao, Dirk sl ritch
Re: iptables und kernel logging
On Thu, Jun 22, 2006 at 11:48:59AM +0200, Peter Velan wrote: Gibt es eine Möglichkeit dem Knilch auf die Schliche zu kommen, also quasi irgendwas das MAC - IP auflöst? Da er ja brav fragt, was spricht dagegen, ihm einfach eine passende IP zu verpassen? cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables und kernel logging
Dirk Salva wrote: On Thu, Jun 22, 2006 at 12:08:56PM +0200, Richard Mittendorfer wrote: Also sprach Peter Velan [EMAIL PROTECTED] (Thu, 22 Jun 2006 11:48:59 +0200): Jun 20 05:42:17 ubx kernel: [4512963.131000] drop eth1: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:20:6f:11:0c:e8:08:00 SRC=0.0.0.0 ^ DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=60 ID=51016 PROTO=UDP SPT=68 DPT=67 LEN=308 [...] Gibt es eine Möglichkeit dem Knilch auf die Schliche zu kommen, also quasi irgendwas das MAC - IP auflöst? Das ist die MAC der sendenden Karte. Ich bin offensichtlich zu doof dazu, bei mir kommt in beiden Eingabefeldern von http://standards.ieee.org/regauth/oui/index.shtml nur, daß die (MAC-)Adresse nicht bekannt ist. Du darfst natürlich nur 00-20-6f eingeben, dann funtioniert es ;-) Gruss Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables und kernel logging
am 2006-06-22 16:36 schrieb Ulf Volmer: On Thu, Jun 22, 2006 at 11:48:59AM +0200, Peter Velan wrote: Gibt es eine Möglichkeit dem Knilch auf die Schliche zu kommen, also quasi irgendwas das MAC - IP auflöst? Da er ja brav fragt, was spricht dagegen, ihm einfach eine passende IP zu verpassen? Ääh, Ein 212.114.84.??? brüllt rum, dass er 'ne IP will und ich (212.114.84.46) soll ihm eine geben? Er hat doch schon einen öffentliche IP (sonst würde er mich mit seinem Gelabber ja nicht erreichen). DHCP macht doch im Internet keinen Sinn, oder versteh ich das falsch? Gruß, Peter PS: Sorry Ulf (sollte usrprünglich gleich auf die Liste gehen). -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables und kernel logging
Hallo Peter, Peter Velan, 22.06.2006 (d.m.y): am 2006-06-22 16:36 schrieb Ulf Volmer: On Thu, Jun 22, 2006 at 11:48:59AM +0200, Peter Velan wrote: Gibt es eine Möglichkeit dem Knilch auf die Schliche zu kommen, also quasi irgendwas das MAC - IP auflöst? Da er ja brav fragt, was spricht dagegen, ihm einfach eine passende IP zu verpassen? Ääh, Ein 212.114.84.??? brüllt rum, dass er 'ne IP will Nein. Rumbruellen tut allenfalls ein Rechner mit der _MAC-Adresse_ seiner Netzwerkkarte. und ich (212.114.84.46) soll ihm eine geben? Er hat doch schon einen öffentliche IP (sonst würde er mich mit seinem Gelabber ja nicht erreichen). DHCP macht doch im Internet keinen Sinn, oder versteh ich das falsch? Ich glaube nicht, dass die DHCP-Anfragen aus dem Internet kommen. Gruss, Christian Schmidt -- Die höchsten Kilometerkosten von allen Wagentypen hat immer noch ein Einkaufswagen im Supermarkt. -- Lothar Schmidt signature.asc Description: Digital signature
RE: iptables und kernel logging
Hallo Peter, In einem anderen Forum hat einer das Problem, dass ein PC eine DHCP Adresse haben will, obwohl alles manuell konfiguriert ist. http://www.wcm.at/forum/showthread.php?threadid=195181 Dies Fehlsituation kann in der Statusleiste erkannt werden. Eventuell liegt hier das gleiche Problem an, nur dass die Anfragen erkannt wurden. From: Christian Schmidt [...] Hallo Peter, Peter Velan, 22.06.2006 (d.m.y): am 2006-06-22 16:36 schrieb Ulf Volmer: On Thu, Jun 22, 2006 at 11:48:59AM +0200, Peter Velan wrote: [...] Ich glaube nicht, dass die DHCP-Anfragen aus dem Internet kommen. Das glaube Ich ebenfalls Nicht, denn der ISP wird doch generelle broadcasts nicht weitergeben Gruss, Christian Schmidt [...] Gruss aus Wien Helmut Heinreichsberger
Re: iptables und kernel logging
am 2006-06-22 17:58 schrieb Heinreichsberger, Helmut: Hallo Peter, In einem anderen Forum hat einer das Problem, dass ein PC eine DHCP Adresse haben will, obwohl alles manuell konfiguriert ist. http://www.wcm.at/forum/showthread.php?threadid=195181 Dies Fehlsituation kann in der Statusleiste erkannt werden. Eventuell liegt hier das gleiche Problem an, nur dass die Anfragen erkannt wurden. From: Christian Schmidt [...] Hallo Peter, Peter Velan, 22.06.2006 (d.m.y): am 2006-06-22 16:36 schrieb Ulf Volmer: On Thu, Jun 22, 2006 at 11:48:59AM +0200, Peter Velan wrote: [...] Ich glaube nicht, dass die DHCP-Anfragen aus dem Internet kommen. Das glaube Ich ebenfalls Nicht, denn der ISP wird doch generelle broadcasts nicht weitergeben Wie man es halt sieht: für mich beginnt das Internet dort, wo ich eine routbare fixe IP habe. Im Serverraum sind aber neben unseren Rechnern andere Geräte am Werkeln (und einer davon sucht verzweifelt - und sinnlos - nach IPs). Dass die DHCP-Calls wirklich raus in die Wildnis geroutet werden, bezweifle ich nach dem hier im Thread gesagten inzwischen auch. Ich verstehe viel zu wenig über die ganze Routerei in einem Serverraum, finde es aber seltsam, dass an mein Tor mit fixer Internet-routbarer IP DHCP-Calls anklopfen. Die haben dort doch nichts verloren, oder? Ist doch schon alles fix vergeben, die Strippen sind gezogen. Und das über die MS-Ports 137, 138, 139, 445 viel sinnloser Kram auch im Internet herumschwirrt ist doch Fakt, oder? Danke für die vielen Hinweise, habe wieder viel gelernt, Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables und kernel logging
Hallo Peter, Peter Velan, 22.06.2006 (d.m.y): Ich glaube nicht, dass die DHCP-Anfragen aus dem Internet kommen. Das glaube Ich ebenfalls Nicht, denn der ISP wird doch generelle broadcasts nicht weitergeben Wie man es halt sieht: für mich beginnt das Internet dort, wo ich eine routbare fixe IP habe. Und ebendie hat ein Geraet noch nicht, wenn es per DHCP-Broadcast um nach einer IP-Konfiguration fragt. Allerdings wundert es mich wirklich _sehr_, dass solche Anfragen an Deinem outbound-Interface auftreffen. Kannst Du _wirklich_ ausschliessen, dass _keine_ Anfragen von innen ueber dieses Interface eintreffen? Im Serverraum sind aber neben unseren Rechnern andere Geräte am Werkeln (und einer davon sucht verzweifelt - und sinnlos - nach IPs). Wenn Du den Betreiber der Maschine ermitteln (und ein wenig aergern) willst, koenntest Du auf Deiner Kiste ja mal einen DHCP-Server einrichten, der fuer diese MAC-Adresse eine nicht routbare IP-Adresse herausgibt. ;-) Gruss, Christian Schmidt -- Der Tag, an dem Karl Klammer fähig ist, die Syntax von DNS-Hosts zu validieren, ist der Tag, an dem die Welt untergeht. -- Alexander Reelsen signature.asc Description: Digital signature
Re: iptables und kernel logging
am 2006-06-22 22:37 schrieb Christian Schmidt: Hallo Peter, Peter Velan, 22.06.2006 (d.m.y): Ich glaube nicht, dass die DHCP-Anfragen aus dem Internet kommen. Das glaube Ich ebenfalls Nicht, denn der ISP wird doch generelle broadcasts nicht weitergeben Wie man es halt sieht: für mich beginnt das Internet dort, wo ich eine routbare fixe IP habe. Und ebendie hat ein Geraet noch nicht, wenn es per DHCP-Broadcast um nach einer IP-Konfiguration fragt. Ach was, vermutlich hat der schon alles was er braucht (AKA fixed IP) aber die Superautomatik (ich bin mir ziemlich sicher dass es ein MS-System ist) fragt dennoch sinnlos in der Gegend nach einer IP. Allerdings wundert es mich wirklich _sehr_, dass solche Anfragen an Deinem outbound-Interface auftreffen. Mich nicht, schließlich betreue ich (armer) auch einen Windows 2003 Server. Der kommt nach einer Defaultinstallation auch so hoch, dass auf *allen* gefundenen Interfaces Netbios, DHCP-Suche (und weiß der Geier was sonst noch für'n Kram) gebunden wird. Kannst Du _wirklich_ ausschliessen, dass _keine_ Anfragen von innen ueber dieses Interface eintreffen? Ja, das kann ich ausschließen. Im Ethereal-Mitschnitt der Outbound-Karte findet sich: [Option 12: Host Name = Businesspark-XYZ] -- Ich betreibe keinen solchen Rechner ;-) Im Serverraum sind aber neben unseren Rechnern andere Geräte am Werkeln (und einer davon sucht verzweifelt - und sinnlos - nach IPs). Wenn Du den Betreiber der Maschine ermitteln (und ein wenig aergern) willst, koenntest Du auf Deiner Kiste ja mal einen DHCP-Server einrichten, der fuer diese MAC-Adresse eine nicht routbare IP-Adresse herausgibt. ;-) Nana, man ist ja kein Unhold und hat schließlich ein Herz! Jedenfalls kann ich nun (siehe oben) meinem Provider mit Fakten, Fakten, Fakten ... kommen. Und wie schon im Startposting gesagt: wirklich störend ist es eigentlich nicht, nur ein wenig lästig. Gute Nacht allerseits, Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables verzöget anfragen an Apache2 Skripte um 3s (war: Re: Apache2 + mod_php4 verzögert die Ausführung von Skripten)
Andreas Kretschmer schrieb am 16.06.2006 07:25:
Welchen Fehler?
Das der Apache Skripte ab einer bestimmten Größe erst nach 3 Sekunden
zurückgibt.
z.B. wird ein PHP wie folgt ohne Verzögerung zurückgegeben:
$teststring = Erde;
for ($i=0; $i 100; $i++)
{
echo Hallo $teststring;
}
Setzt ich die Anzahl der Durchläufe jedoch auf 150, so tritt die
Verzögerung auf. (Wie auch in meiner ersten Mail beschrieben)
Diese Verzögerung kann ich mir nicht erklären zumal der Inhalt nur 150%
der ersten Ausgabe entspricht.
Der Fehler bleibt übrigens auch wenn ich nur das Firewallskript stoppe ohne
die module zu entladen.
My guess: kaputte Regeln, die weiterhin bestehen. Was sagt ein
iptables-save nach stoppen des Skriptes?
$ iptables-save
# Generated by iptables-save v1.2.11 on Fri Jun 16 17:58:09 2006
*mangle
:PREROUTING ACCEPT [40937:20740987]
:INPUT ACCEPT [14711:3872056]
:FORWARD ACCEPT [26225:16868883]
:OUTPUT ACCEPT [14911:4531724]
:POSTROUTING ACCEPT [41153:20847866]
COMMIT
# Completed on Fri Jun 16 17:58:09 2006
# Generated by iptables-save v1.2.11 on Fri Jun 16 17:58:09 2006
*nat
:PREROUTING ACCEPT [1846:111749]
:POSTROUTING ACCEPT [380:28601]
:OUTPUT ACCEPT [680:47797]
COMMIT
# Completed on Fri Jun 16 17:58:09 2006
# Generated by iptables-save v1.2.11 on Fri Jun 16 17:58:09 2006
*filter
:INPUT ACCEPT [23:1717]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [23:3281]
COMMIT
# Completed on Fri Jun 16 17:58:09 2006
P.S. Kann es damit zu tun haben das der Prozessor nur 128 KB Cache hat ?
Sehr, sehr unwahrscheinlich.
Das habe ich mir leider schon gedacht.
Gruß
Stephan Reichhelm
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables verzöget anf ragen an Apache2 Skripte um 3s (war: Re: Apache2 + mod_php4 verzögert die Ausführung von Skripten)
am 15.06.2006, um 23:03:48 +0200 mailte Stephan R folgendes: Hallo zusammen, ich habe jetzt nach edlichen Stunden suchen den Fehler gefunden. Welchen Fehler? Der Fehler bleibt übrigens auch wenn ich nur das Firewallskript stoppe ohne die module zu entladen. My guess: kaputte Regeln, die weiterhin bestehen. Was sagt ein iptables-save nach stoppen des Skriptes? P.S. Kann es damit zu tun haben das der Prozessor nur 128 KB Cache hat ? Sehr, sehr unwahrscheinlich. Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47215, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Iptables automatisch bereinigen
Hallo Felix, Felix Droste, 02.06.2006 (d.m.y): Ich suche nach einer Lösung, um automatisch angelegte Iptables (durch das IDS portsentry) regelmäßig wieder zu entfernen. Leg Dir doch ein Skript /etc/init.d/packetfilter an, in dem Du die Basisregeln und nicht mehr definierst. Dieses Skript laesst Du dann einfach von cron ausfuehren. Keep it simple! ;-) Gruss, Christian Schmidt -- Heirate oder Heirate nicht, Du wirst es auf jeden Fall bereuen. -- Sokrates signature.asc Description: Digital signature
Re: Iptables automatisch bereinigen
Hallo, [EMAIL PROTECTED] wrote: Ich suche nach einer Lösung, um automatisch angelegte Iptables (durch das IDS portsentry) regelmäßig wieder zu entfernen. Leider bin ich auch nach mehrmaligem Suchen nicht fündig geworden. Es würde schon reichen, wenn alle 24h (cronjob) alle entrys bis auf sagen wir mal die 20 Neuesten gelöscht würden. Ziehen viele Einträge stark an der Leistung eines systems? Ein kleiner Suchtipp wäre schon prima! Vielleicht so (nur sehr kurz und nicht mit Einträgen von portsentry getestet): iptables-save | grep ^-A INPUT | \ head -n -20 | sed s/^-A/-D/ | \ while read line; do iptables $line; done Liest alle -A INPUT -i eth0 ...-Eintrage aus der Ausgabe von iptables-save (bis auf die letzten 20), ändert -A in -D und ruft damit iptables auf. hth, Wolf -- Fit für Kinder? Der Anzieh-Test: Besorge Dir einen großen, lebendigen Tintenfisch. Versuche, diesen in ein kleines Einkaufsnetz zu stecken und stelle sicher, dass Du auch wirklich alle Arme im Netz verstaust. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables und ICMP-Typen
Also sprach Thilo Engelbracht [EMAIL PROTECTED] (Sun, 14 May 2006
19:19:53 +0200):
Hallo Liste!
[...]
${IPT} -A INPUT -i ${INT} -s ${NETZ} -p icmp \
--icmp-type echo-request -m limit --limit 1/s -j ACCEPT
${IPT} -A INPUT -i ${INT} -s ${NETZ} -p icmp \
--icmp-type echo-request -j DROP
[...]
Meine Fragen:
- Ist es notwendig, Pakete für andere ICMP-Typen zu erlauben?
(Das Kommando iptables -p icmp -h zeigt ja noch viele weitere
ICMP-Typen an)
Nein. (es ist BTW. eines der nettesten Moeglichkeiten Netzwerkprobleme
zu identifizieren)
- Sind die oben genannten Zeilen ausreichend, um sich vor einem Ping
of Death zu schützen?
Ja. Ich sehe, du hast www.netfilter.org gefunden. ;-)
So wirklich kritisch ist das IMHO nicht.
- Kann man ggf. noch etwas verbessern, um sich vor ICMP-Attaken zu
schützen?
Da gibt's nix, worum du dir grosse Sorgen machen solltest (BUGs nicht
eingeschlossen).
Dennoch rate ich dir zu einem Tool um deinen Server im Blick zu
behalten. Einige davon erlauben es dir eine Mail zu senden, wenn mal
was ausserhalb der Limits laufen sollte. IDS[1] ist da ganz hilfreich.
[1] http://de.wikipedia.org/wiki/Intrusion_Detection_System
[...]
Thilo
sl ritch
Re: iptables + Kernel 2.6.16.2
On 21.04.06 23:19:43, Marco Estrada Martinez wrote: Hi @ all, Da ja nun das eine Problem auf meinen Server geklärt/gelöst ist. Nun ein neues. Habe auf meinem Lapi den neuen Kernel (2.6.16.2) eingerichtet. Habe mit make old_config eigentlich die alten Einstellungen des alten Kernels übernommen. Nun funktioniert aber iptables nicht mehr. Unter dem alten Kernel ging es. Jemand ne Idee? Kann dir leider so nicht helfen, da meine Glaskugel mal wieder in der Reparatur ist (ich bin auch wirklich ungeschickt ;-) Ernsthaft: Was steht denn in der Config drin bzgl. iptables? grep IP_NF sollte dir die Optionen zeigen. Die Config liegt als .config im Quellverzeichnis oder in /boot als config-kernelversion Andreas -- You will be Told about it Tomorrow. Go Home and Prepare Thyself. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables + Kernel 2.6.16.2
Hallo Marco, Marco Estrada Martinez, 21.04.2006 (d.m.y): Da ja nun das eine Problem auf meinen Server geklärt/gelöst ist. Nun ein neues. Habe auf meinem Lapi den neuen Kernel (2.6.16.2) eingerichtet. Habe mit make old_config eigentlich die alten Einstellungen des alten Kernels übernommen. Nun funktioniert aber iptables nicht mehr. Das ist keine fuer eine vernuenftige Antwort ausreichende Fehlerbeschreibung. Bekommst Du irgendwelchen Output, wenn Du haendisch in iptables-Kommando absetzt? Unter dem alten Kernel ging es. Jemand ne Idee? Fehlen Dir irgendwelche Module? Gruss, Christian Schmidt -- Wie man sein Kind nicht nennen sollte: Pat Ent signature.asc Description: Digital signature
