/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord? 		Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
IP Tables og UDP
Fra : Kasper

Dato : 07-02-03 08:21
Hej ng.

I mit iptables script har jeg brugt denne linie for at lukke for TCP
pakker : /sbin/iptables -A INPUT -p tcp --syn -j DROP
Og denne for bagefter at åbne dem jeg skal bruge: /sbin/iptables
-A INPUT -p tcp --syn --destination-port 22 -j ACCEPT

Men hvordan gør jeg med udp porte?

Kan man forresten åbne en port og på en eller anden måde "sløre" den
så den ikke ses som åben med diverse port scannere?

Håber i kan hjælpe.

/Kasper


 
 
Jacob Bunk Nielsen (07-02-2003)
Kommentar
Fra : Jacob Bunk Nielsen

Dato : 07-02-03 09:32
Kasper <student@tecballerup.dk> writes:

> I mit iptables script har jeg brugt denne linie for at lukke for TCP
> pakker : /sbin/iptables -A INPUT -p tcp --syn -j DROP
> Og denne for bagefter at åbne dem jeg skal bruge: /sbin/iptables
> -A INPUT -p tcp --syn --destination-port 22 -j ACCEPT
>
> Men hvordan gør jeg med udp porte?

iptables -A INPUT -p udp --dport foo -j ACCEPT

Har du overvejet at RTFM?

> Kan man forresten åbne en port og på en eller anden måde "sløre" den
> så den ikke ses som åben med diverse port scannere?

Hvordan mener du? Enten er der noget der svarer på den port, eller
også er der ikke. Hvad er det du vil? Hvad mener du med at "sløre"? At
den bare dropper pakkerne? Ja, brug -j DROP.

--
Jacob - www.bunk.cc
Weekend, where are you?

Kasper (07-02-2003)
Kommentar
Fra : Kasper

Dato : 07-02-03 12:36
On Fri, 07 Feb 2003 09:32:21 +0100, Jacob Bunk Nielsen <spam@bunk.cc>
wrote:

>Kasper <student@tecballerup.dk> writes:
>
>> I mit iptables script har jeg brugt denne linie for at lukke for TCP
>> pakker : /sbin/iptables -A INPUT -p tcp --syn -j DROP
>> Og denne for bagefter at åbne dem jeg skal bruge: /sbin/iptables
>> -A INPUT -p tcp --syn --destination-port 22 -j ACCEPT
>>
>> Men hvordan gør jeg med udp porte?
>
>iptables -A INPUT -p udp --dport foo -j ACCEPT
Er der som standard lukket for alle udp forespørgsler eller hvad?
>
>Har du overvejet at RTFM?
Hvad er RTFM?
>
>> Kan man forresten åbne en port og på en eller anden måde "sløre" den
>> så den ikke ses som åben med diverse port scannere?
>
>Hvordan mener du?
> Enten er der noget der svarer på den port, eller
>også er der ikke. Hvad er det du vil? Hvad mener du med at "sløre"? At
>den bare dropper pakkerne? Ja, brug -j DROP.


Peter Makholm (07-02-2003)
Kommentar
Fra : Peter Makholm

Dato : 07-02-03 13:07
Kasper <knl@oncable.dk> writes:

>>iptables -A INPUT -p udp --dport foo -j ACCEPT
> Er der som standard lukket for alle udp forespørgsler eller hvad?

Nej, du skal også lave en DROP-linje til udp.

>>Har du overvejet at RTFM?
> Hvad er RTFM?

Read The F{ine,ucking,unny,whatever} Manual

--
Peter Makholm | Wisdom has two parts:
peter@makholm.net | 1) having a lot to say, and
http://hacking.dk | 2) not saying it

Jacob Bunk Nielsen (07-02-2003)
Kommentar
Fra : Jacob Bunk Nielsen

Dato : 07-02-03 13:15
Kasper <knl@oncable.dk> writes:

> Er der som standard lukket for alle udp forespørgsler eller hvad?

Ud fra hvordan du gjorde med TCP antog jeg at du havde DROP som
default policy for din INPUT-kæde. Det er den der bestemmer.

--
Jacob - www.bunk.cc
Anybody can win, unless there happens to be a second entry.

Allan Olesen (08-02-2003)
Kommentar
Fra : Allan Olesen

Dato : 08-02-03 12:06
Kasper <student@tecballerup.dk> wrote:

>I mit iptables script har jeg brugt denne linie for at lukke for TCP
>pakker : /sbin/iptables -A INPUT -p tcp --syn -j DROP

Formaalet med reglen er at sikre sig, at man kun modtager pakker,
der er svar paa trafik, man selv har startet.

Det er fint nok, men at goere det ved at checke paa syn er kun en
noedloesning, som man foer i tiden under f.eks. ipchains var
noedt til at bruge, fordi ipchains ikke havde stateful
inspection.

Som du selv har oplevet, fungerer det ikke med udp, fordi
udp-trafik ikke gennemfoerer en forhandling med syn-pakker.

Saa i stedet synes jeg, at du skulle udnytte, at iptables koerer
med aegte stateful inspection, som groft sagt betyder, at
iptables holder regnskab med, hvad der er kommet ud, og kun
tillader trafik at komme ind, hvis det er svar paa det, der er
kommet ud. Den teknik fungerer ogsaa med udp-pakker.

Et saet regler kunne se saaledes ud (sakset fra eksemplet paa
www.sslug.dk/sikkerhed/ , med alt andet end iptables klippet vaek
for overskuelighedens skyld - men det betyder ikke, at alt det
andet kan undvaeres):

# Default policies
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT

# Create a common chain for the INPUT and FORWARD handling
iptables -N block
iptables -F block

# Allow traffic on established connections
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT

# Indsat af Allan Olesen:
# Den her har jeg modificeret lidt, da jeg ikke bryder mig
# om det originale scripts sortlistning af interfaces.
# Hvidlistning er bedre. Fjern kommenteringen foran eth0
# hvis eth0 er et rent lokalnet-interface uden adgang
# fra internettet.
#iptables -A block -m state --state NEW -i eth0 -j ACCEPT
iptables -A block -m state --state NEW -i lo -j ACCEPT

# Indsat til aere for Kaspers ssh-adgang udefra.
# De to naeste liner skal samles til een linie:
iptables -A block -m state --protocol tcp --state NEW
--destination-port 22 -j ACCEPT

# Block anything else
iptables -A block -j LOG

# Activate the new chain
iptables -A INPUT -j block
iptables -A FORWARD -j block


--
Allan
Søg
Reklame
Statistik
Spørgsmål : 177554
Tips : 31968
Nyheder : 719565
Indlæg : 6408855
Brugere : 218888
Månedens bedste
Årets bedste
Sidste års bedste
Copyright © 2000-2024 kandu.dk. Alle rettigheder forbeholdes.