---

Hej NG!

Min Linuxboks befinder sig på et lokalt netværk, og mit problem er at
flere brugere af dette netværk har meget travlt med at portskanne. Det
irreterer mig grusomt. Jeg er i øvrigt rimelig sikker på at der også
bliver sniffet. Netværket er koplet til en router som har forbindelse
med omverdenen via en ISP.

Jeg har derfor kigget en smule på tcpd i håb om at dette kunne skjule
mine porte for requests fra specifikke IP-numre. Men det virker ikke.
Med andre ord: Jeg har forsøgt at skjule min maskine fra at kunne ses på
netværket fra maskiner som er angivet af mig via IP-numre.

Hvad kan jeg gøre? Jeg kører RH7.1.

I dokumentationen til tcpd siges der at man kan skjule services fra
forskellige maskiner, men gælder dette kun dæmoner? Hvad hvis jeg for
eksempel starter en ftp-server op fra f. eks. en xterm?

Mvh
Martin

---

Martin Agersted Jarl <martin@jarl.dk> writes:

> Jeg har derfor kigget en smule på tcpd i håb om at dette kunne skjule
> mine porte for requests fra specifikke IP-numre. Men det virker ikke.
> Med andre ord: Jeg har forsøgt at skjule min maskine fra at kunne ses på
> netværket fra maskiner som er angivet af mig via IP-numre.
>
> Hvad kan jeg gøre? Jeg kører RH7.1.

Prøv at kigge på iptables. Med den kan du sætte sådanne regler op.

--
Med venlig hilsen
Christian Laursen

---

Christian Laursen wrote:
[snip]

>
> Prøv at kigge på iptables. Med den kan du sætte sådanne regler op.

Tak for sporet. Jeg kan ikke umiddelbart få det til at virke, men det skal
nok lykkes.

mvh
Martin

---

Martin Agersted Jarl <martin@jarl.dk> wrote:
> Hej NG!
>
> Min Linuxboks befinder sig på et lokalt netværk, og mit problem er at
> flere brugere af dette netværk har meget travlt med at portskanne. Det
> irreterer mig grusomt. Jeg er i øvrigt rimelig sikker på at der også
> bliver sniffet. Netværket er koplet til en router som har forbindelse
> med omverdenen via en ISP.

Mit raad til dig er ikke at loese problemet med teknologi, men goere den
netvaerksansvarlige opmaerksom paa disse haendelser. Trusler om mistet
adgang virker bedre end et par personer der saetter IP filtre op.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

In article <slrnadsvsa.2lan.a@C-Tower.Area51.DK>, "Alex Holst"
<a@area51.dk> wrote:

> Mit raad til dig er ikke at loese problemet med teknologi, men goere den
> netvaerksansvarlige opmaerksom paa disse haendelser. Trusler om mistet
> adgang virker bedre end et par personer der saetter IP filtre op.

Ja, du kunne evt. bruge tcpdump eller iptraf, til at finde ud af hvem det
er, hvis du på nuværende tidspunkt, ikke ved hvem det er.

--
Med venlig hilsen
Bo Simonsen

Linux! The choice of the GNU generation!

---

On Sun, 12 May 2002 17:28:46 +0200, "Bo Simonsen"
<paltas@geekworld.dk> wrote:

>In article <slrnadsvsa.2lan.a@C-Tower.Area51.DK>, "Alex Holst"
><a@area51.dk> wrote:

>> Mit raad til dig er ikke at loese problemet med teknologi, men goere den
>> netvaerksansvarlige opmaerksom paa disse haendelser. Trusler om mistet
>> adgang virker bedre end et par personer der saetter IP filtre op.

>Ja, du kunne evt. bruge tcpdump eller iptraf, til at finde ud af hvem det
>er, hvis du på nuværende tidspunkt, ikke ved hvem det er.

eller ettercap for den sags skyld, der er IMO langt bedre til det
formål.

---

heh, man er vel ikke en skid bedre selv hvis man starter tcpdump for at
sniffe andre fordi de sniffer, det kommer der sikkert en vældig fin
diskution ud af, hvem der startede osv.

---

On Mon, 13 May 2002 15:24:48 +0200, Jesper Aagaard wrote:

> heh, man er vel ikke en skid bedre selv hvis man starter tcpdump for
> at sniffe andre fordi de sniffer, det kommer der sikkert en vældig
> fin diskution ud af, hvem der startede osv.

Der er vel forskel på at lytte på alt der kommer gennem ledningen
("sniffe") og på at kigge på de pakker der har ens netkort som
destination?


Mvh.

--
"Alla sammanträffande med verkligheten är helt Adam Sjøgren
slumpmässiga, alla melodier är påhittade." asjo@koldfront.dk

---

spamtrap@koldfront.dk (Adam Sjøgren) writes:

> On Mon, 13 May 2002 15:24:48 +0200, Jesper Aagaard wrote:
>
> > heh, man er vel ikke en skid bedre selv hvis man starter tcpdump for
> > at sniffe andre fordi de sniffer, det kommer der sikkert en vældig
> > fin diskution ud af, hvem der startede osv.
>
> Der er vel forskel på at lytte på alt der kommer gennem ledningen
> ("sniffe") og på at kigge på de pakker der har ens netkort som
> destination?

Der er i hvert fald forskel på passivt at sniffe netværket, og så
aktivt at portscanne og/eller aktivt at sniffe et switched ethernet.

--
Thomas Bjorn Andersen - tba@gen-v.net
+++ATH

---

Thomas Bjorn Andersen <tbanews@gen-v.net> writes:

> Der er i hvert fald forskel på passivt at sniffe netværket, og så
> aktivt at portscanne og/eller aktivt at sniffe et switched ethernet.

Hvordan vil du sniffe et switched ethernet?

--
Thorbjørn Ravn Andersen
http://unixsnedkeren.dk - Unix, Java, Web, Netværk, Århus

---

In article <kk3cwvlxj7.fsf@mimer.null.dk>, Thorbjørn Ravn Andersen wrote:
>
>> Der er i hvert fald forskel på passivt at sniffe netværket, og så
>> aktivt at portscanne og/eller aktivt at sniffe et switched ethernet.
>
> Hvordan vil du sniffe et switched ethernet?

Arp poisoning og cam-flooding er to metoder.

--
Andreas Plesner Jacobsen | You will be winged by an anti-aircraft battery.

---

thunderbear@bigfoot.com (Thorbjørn Ravn Andersen) writes:

> Thomas Bjorn Andersen <tbanews@gen-v.net> writes:
>
> > Der er i hvert fald forskel på passivt at sniffe netværket, og så
> > aktivt at portscanne og/eller aktivt at sniffe et switched ethernet.
>
> Hvordan vil du sniffe et switched ethernet?

Se f.eks. dsniff, parasite og ettercap for en rigtig nem måde.
--
Thomas Bjorn Andersen - tba@gen-v.net
+++ATH