Kandu.dk - Hvordan med UDP porte?


/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Linux

#	Navn	Point
1	o.v.n.	11177
2	peque	7911
3	dk	4814
4	e.c	2359
5	Uranus	1334
6	emesen	1334
7	stone47	1307
8	linuxrules	1214
9	Octon	1100
10	BjarneD	875

Hvordan med UDP porte?
Fra : Kasper Nordal Lund

Dato : 04-10-03 23:26

Hej ng.

Når jeg laver en nmap mod min mandrake box med -sU for UDP porte får jeg
en liste så lang med alle de porte der er åbne, og det er jo egentligt
ikke meningen. Hvad skal der stå i mit iptables script for at den lukker
for mine udp porte?
Mit nuværende script ser således ud:

#!/bin/sh

# Disable forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

LAN_IP_NET='10.0.0.1/8'
LAN_NIC='eth0'
WAN_IP='62.242.140.27'
WAN_NIC='eth1'
FORWARD_IP='0.0.0.0'

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#Load modules
insmod ip_conntrack_ftp
insmod ip_nat_ftp

# Open ports on router for server/services
#Porte der bruges til SSH
iptables -A INPUT -j ACCEPT -p tcp --dport 22
#Porte der bruges til SMTP
iptables -A INPUT -j ACCEPT -p tcp --dport 25
#Porte bruges til ftp
iptables -A INPUT -j ACCEPT -p tcp --dport 21

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Laver en generel politik (policy)
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

Jeg er som i måske kan se ike helt hjemme i iptables, men det virker da -
bortset ligefra UDP portene som gerne skulle blokkes hvis ikke jeg åbner
for dem.

Håber i kan hjælpe mig.

/Kasper

Jacob Bunk Nielsen (05-10-2003)

Kommentar
Fra : Jacob Bunk Nielsen

Dato : 05-10-03 00:17

Kasper Nordal Lund <ihate@spam.org> writes:

> LAN_IP_NET='10.0.0.1/8'

Du mener 10.0.0.0/8?

> # Flush
> iptables -t nat -F POSTROUTING
> iptables -t nat -F PREROUTING
> iptables -t nat -F OUTPUT
> iptables -F

Put dine policies herop i starten af scriptet, om ikke andet så for
overskuelighedens skyld.

> iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Hvorfor laver du særlige accept-regler på FORWARD-kæden når du i
forvejen kører med en generel policy der tillader alt på den kæde?

> #Porte der bruges til SSH
> iptables -A INPUT -j ACCEPT -p tcp --dport 22

Gør det lidt pænere med:

iptables -A INPUT -m state --protocol tcp --state NEW --destination-port ssh -j ACCEPT
Du kan jo lige så godt udnytte at iptables har stateful inspection i
stedet for blot at tillade alt på port 22. når du senere kombinerer
det med at acceptere ESTABLISHED og RELATED.

Hvor scanner du fra? Der bør ikke være meget at se, hvis din
default-policy på INPUT er DROP. Må vi ikke se outputtet af
'iptables -L -v'?

--
Jacob - www.bunk.cc
Are you making all this up as you go along?

Kasper Nordal Lund (05-10-2003)

Kommentar
Fra : Kasper Nordal Lund

Dato : 05-10-03 08:51

On Sun, 05 Oct 2003 01:16:49 +0200, Jacob Bunk Nielsen wrote:

> Kasper Nordal Lund <ihate@spam.org> writes:

> 'iptables -L -v'?

Her er det, tak for de gode hints :)

[root@linux root]# iptables -L -v
Chain INPUT (policy DROP 1270K packets, 101M bytes)
pkts bytes target prot opt in out source destination
7172 548K ACCEPT tcp -- any any anywhere anywhere tcp dpt:ssh
1 28 ACCEPT udp -- any any anywhere anywhere udp dpt:ssh
76 3485 ACCEPT tcp -- any any anywhere anywhere tcp dpt:smtp
1 28 ACCEPT udp -- any any anywhere anywhere udp dpt:smtp
512 30273 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ftp
2 356 ACCEPT udp -- any any anywhere anywhere udp dpt:ftp
1 28 ACCEPT udp -- any any anywhere anywhere udp dpt:http
409 50459 ACCEPT tcp -- any any anywhere anywhere tcp dpt:http
0 0 ACCEPT udp -- any any anywhere anywhere udp spt:isakmp dpt:isakmp
0 0 ACCEPT ipv6-crypt-- any any anywhere anywhere
0 0 ACCEPT tcp -- eht0 any anywhere anywhere tcp dpt:10000
0 0 ACCEPT udp -- eht0 any anywhere anywhere udp dpt:10000
0 0 ACCEPT tcp -- eth0 any anywhere anywhere tcp dpt:domain
3216 301K ACCEPT udp -- eth0 any anywhere anywhere udp dpt:domain
0 0 ACCEPT tcp -- eth0 any anywhere anywhere tcp dpt:pop3
0 0 ACCEPT udp -- eth0 any anywhere anywhere udp dpt:pop3
5514K 5233M ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
15M 5554M ACCEPT all -- eth0 any 10.0.0.0/8 anywhere
13M 5826M ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 eth1 kasperxp anywhere tcp dpt:4661
0 0 ACCEPT tcp -- eth0 eth1 kasperxp anywhere tcp dpt:4662
0 0 ACCEPT udp -- eth0 eth1 kasperxp anywhere udp dpt:4665
0 0 ACCEPT tcp -- eth0 eth1 kasperxp anywhere tcp dpt:4672
0 0 ACCEPT udp -- eth0 eth1 kasperxp anywhere udp dpt:4672
22 1024 ACCEPT tcp -- eth1 eth0 anywhere kasperxp tcp dpt:4661
981K 49M ACCEPT tcp -- eth1 eth0 anywhere kasperxp tcp dpt:4662
1 46 ACCEPT udp -- eth1 eth0 anywhere kasperxp udp dpt:4665

Chain OUTPUT (policy ACCEPT 7256K packets, 5303M bytes)
pkts bytes target prot opt in out source destination

--
/Kasper

Kasper Nordal Lund (05-10-2003)

Kommentar
Fra : Kasper Nordal Lund

Dato : 05-10-03 09:42

On Sun, 05 Oct 2003 01:16:49 +0200, Jacob Bunk Nielsen wrote:

> Hvor scanner du fra? Der bør ikke være meget at se, hvis din
> default-policy på INPUT er DROP.

Jeg scanner fra en ekstern pc.

#nmap -sU 62.242.140.27

Hvis bruger ovenstående kommando får jeg

Alle porte fra 0 til 54321 er open

--
/Kasper

Klaus Ellegaard (05-10-2003)

Kommentar
Fra : Klaus Ellegaard

Dato : 05-10-03 09:47

Kasper Nordal Lund <ihate@spam.org> writes:

>Når jeg laver en nmap mod min mandrake box med -sU for UDP porte får jeg
>en liste så lang med alle de porte der er åbne, og det er jo egentligt
>ikke meningen.

-sU UDP scans: This method is used to determine which
UDP (User Datagram Protocol, RFC 768) ports are
open on a host. The technique is to send 0 byte
UDP packets to each port on the target machine. If
we receive an ICMP port unreachable message, then
the port is closed. Otherwise we assume it is
open. Unfortunately, firewalls often block the
port unreachable messages, causing the port to
appear open. [...]

Mvh.
Klaus.

Kasper Nordal Lund (05-10-2003)

Kommentar
Fra : Kasper Nordal Lund

Dato : 05-10-03 09:50

On Sun, 05 Oct 2003 08:46:39 +0000, Klaus Ellegaard wrote:

> Kasper Nordal Lund <ihate@spam.org> writes:
>
>>Når jeg laver en nmap mod min mandrake box med -sU for UDP porte får jeg
>>en liste så lang med alle de porte der er åbne, og det er jo egentligt
>>ikke meningen.
>
> -sU UDP scans: This method is used to determine which
> UDP (User Datagram Protocol, RFC 768) ports are
> open on a host. The technique is to send 0 byte
> UDP packets to each port on the target machine. If
> we receive an ICMP port unreachable message, then
> the port is closed. Otherwise we assume it is
> open. Unfortunately, firewalls often block the
> port unreachable messages, causing the port to
> appear open. [...]
>
> Mvh.
> Klaus.

Takker og bukker

--
/Kasper

Søg

Reklame

Statistik

Spørgsmål :	177551
Tips :	31968
Nyheder :	719565
Indlæg :	6408841
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste