|
| IPtables: kun access udefra, hvis trafik i~ Fra : Kim Emax |
Dato : 28-06-06 07:15 |
|
Hej gruppe.
Jeg undrer mig lidt over den firewall jeg har sat op hjemme. Jeg får
meget ofte ikke adgang udefra, medmindre der har været trafik indefra
først. Umiddelbart lyder det som stateful packet filtering, men det
har jeg slået helt fra:
[root@test010 root]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere multiport
dports ftp-data,ftp,ssh,http,4000
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp
spt:bootpc dpt:bootps
ACCEPT udp -- anywhere anywhere udp
spt:bootpc dpt:bootps
ACCEPT tcp -- anywhere anywhere tcp
dpt:http
ACCEPT tcp -- anywhere anywhere tcp
dpts:netbios-ns:netbios-ssn
ACCEPT tcp -- anywhere anywhere tcp
dpts:6891:6901
ACCEPT udp -- anywhere anywhere udp
dpts:6891:6901
ACCEPT icmp -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 192.168.0.0/24 anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Jeg har lavet et ping script på en ekstern server, der pinge hjem
hvert 5. minut og laver en trace når den ikke fanger test010.
Jeg kunne sætte denne ind:
$IPTABLES -A INPUT -i $WAN_IFACE -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
men en på jobbet var bange for at den åbnede for meget. Og SÅ stiv
er jeg nu ikke i iptables (endnu , så jeg kan ikke gennemskue om
den åbner for andet end de tilladte porte, når policy er DROP
Nogen, der har et bud?
--
Take Care
Kim Emax
| |
Kim Emax (28-06-2006)
| Kommentar Fra : Kim Emax |
Dato : 28-06-06 07:20 |
|
Kim Emax skrev:
> Jeg har lavet et ping script på en ekstern server, der pinge hjem
> hvert 5. minut og laver en trace når den ikke fanger test010.
Glemte lige outputtet:
==========================================================
Wed Jun 28 07:05:08 CEST 2006
1 81.7.149.193 171.083 ms
2 81.7.154.1 0.159 ms
3 192.38.7.75 0.553 ms
4 213.185.31.98 0.990 ms
5 213.185.31.101 53.847 ms
6 *
7 *
8 *
9 *
10 *
11 *
12 *
13 *
14 *
15 *
==========================================================
Wed Jun 28 07:10:00 CEST 2006 // her gik det godt?
Wed Jun 28 07:15:09 CEST 2006
1 81.7.149.193 0.335 ms
2 81.7.154.1 0.175 ms
3 192.38.7.75 0.520 ms
4 213.185.31.98 0.900 ms
5 213.185.31.101 0.986 ms
6 *
7 *
8 *
9 *
Sådan kan den stå flere timer, tror der min overbo, der også bruger
linien, der har en PC stående tændt, der engang imellem giver et pip
fra sig. Igår, hvor de ikke var hjemme hele dagen kom ingen ping
igennem før kl. 15, hvor de sjovt nok kom hjem...
--
Take Care
Kim Emax
| |
Peter Makholm (28-06-2006)
| Kommentar Fra : Peter Makholm |
Dato : 28-06-06 07:32 |
|
"Kim Emax" <kimemax@gmail.com> writes:
> Jeg undrer mig lidt over den firewall jeg har sat op hjemme. Jeg får
> meget ofte ikke adgang udefra, medmindre der har været trafik indefra
> først. Umiddelbart lyder det som stateful packet filtering, men det
> har jeg slået helt fra:
Og du er sikker på at det er firewallen der er den skyldige? Det vil
sige at problemet er opstået i forbindelse med at du har sat
firewallen op?
Mit løse gæt ville ellers være at det er jeres forbindelse der lukker
ned ved inaktivitet.
--
Peter Makholm | Emacs is the only modern general-purpose
peter@makholm.net | operating system that doesn't multitask
http://hacking.dk |
| |
Kim Emax (28-06-2006)
| Kommentar Fra : Kim Emax |
Dato : 28-06-06 09:01 |
|
Peter Makholm skrev:
> Og du er sikker på at det er firewallen der er den skyldige? Det vil
> sige at problemet er opstået i forbindelse med at du har sat
> firewallen op?
Det var jeg i går eftermiddags, da jeg added NEW til established,
Related (fra arbejdet), men jeg har tjekket loggen og kan se at jeg
efterfølgende IGEN oplevede timeouts før jeg var kommet hjem fra
jobbet, såee...
> Mit løse gæt ville ellers være at det er jeres forbindelse der lukker
> ned ved inaktivitet.
....også mit gæt og mit postulat heletiden. Faktisk nævnte jeg lige
præcist NEW "problematikken" på stateful packet inspection for en af
deres supportere, da jeg syns det lugter deraf... Da jeg bruger hjemmet
som jumpstation til min serverhosting + til udvikling, så er det
absolut problematisk.
Tak for kommentaren.
--
Take Care
Kim Emax
| |
Kim Emax (28-06-2006)
| Kommentar Fra : Kim Emax |
Dato : 28-06-06 10:23 |
|
Peter Makholm skrev:
> "Kim Emax" <kimemax@gmail.com> writes:
> Og du er sikker på at det er firewallen der er den skyldige? Det vil
> sige at problemet er opstået i forbindelse med at du har sat
> firewallen op?
Serveren har heletiden kørt, også da jeg havde en Tiscali linie. Jeg
havde ipchains kørende dengang og DHCP tildelte adresser kom fra den
medfølgende Cisco677. Nu har jeg skiftet til iptables på serveren,
som også kører DHCP server. Så det er svært at sige om det er
serveren, der er skyld i det eller deres linie. Jeg havde _aldrig_
problemet på tiscali linien.
> Mit løse gæt ville ellers være at det er jeres forbindelse der lukker
> ned ved inaktivitet.
Jeg vil sætte en laptop direkte på linien senere og se om ping stadig
timer ud, i så fald er hele snakken om firewallen har skylden
elimineret.
--
Take Care
Kim Emax
| |
Kim Emax (29-06-2006)
| Kommentar Fra : Kim Emax |
Dato : 29-06-06 15:39 |
|
Peter Makholm skrev:
> Og du er sikker på at det er firewallen der er den skyldige? Det vil
> sige at problemet er opstået i forbindelse med at du har sat
> firewallen op?
>
> Mit løse gæt ville ellers være at det er jeres forbindelse der lukker
> ned ved inaktivitet.
De sværger at der ikke laves inaktivitet på linien. Jeg lægger
firewallen ned, når jeg kommer hjem og ser om der så kommer hul
igennem. Prøver som sagt også at sætte en laptop direkte på.
Jeg har lige set et underligt svar på ping:
9 213.185.31.101 1.143 ms !H
Hvad betyder !H ? Det er ikke lige til at google efter og man ping
giver ikke noget svar.
--
Take Care
Kim Emax
| |
Kent Friis (29-06-2006)
| Kommentar Fra : Kent Friis |
Dato : 29-06-06 15:49 |
|
Den 29 Jun 2006 07:38:40 -0700 skrev Kim Emax:
> Peter Makholm skrev:
>
>> Og du er sikker på at det er firewallen der er den skyldige? Det vil
>> sige at problemet er opstået i forbindelse med at du har sat
>> firewallen op?
>>
>> Mit løse gæt ville ellers være at det er jeres forbindelse der lukker
>> ned ved inaktivitet.
>
> De sværger at der ikke laves inaktivitet på linien. Jeg lægger
> firewallen ned, når jeg kommer hjem og ser om der så kommer hul
> igennem. Prøver som sagt også at sætte en laptop direkte på.
>
> Jeg har lige set et underligt svar på ping:
> 9 213.185.31.101 1.143 ms !H
>
> Hvad betyder !H ? Det er ikke lige til at google efter og man ping
> giver ikke noget svar.
Host Unreachable.
Det IP-nummer der står til venstre burde være nummeret på den maskine
der siger "jeg kan desværre ikke finde den maskine du forsøger at
kommunikere med".
Og nu tænker jeg så: DHCP... Kræver netværket DHCP, og er der i så
fald åbent for DHCP i firewall'en? Nogle udbydere har en enormt
restrektiv DHCP-politik, Tele2 var på et tidspunkt nede på at tildele
IP-adresser for 15 minutter ad gangen (så maskinen skulle bede om at
få lov at beholde IP-adressen med 15 minutters interval).
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Kim Emax (30-06-2006)
| Kommentar Fra : Kim Emax |
Dato : 30-06-06 13:47 |
|
Kent Friis skrev:
> Host Unreachable.
>
> Det IP-nummer der står til venstre burde være nummeret på den maskine
> der siger "jeg kan desværre ikke finde den maskine du forsøger at
> kommunikere med".
ahh, det forklarer så nok også, hvorfor ADSL lampen var inaktiv...
> Og nu tænker jeg så: DHCP... Kræver netværket DHCP, og er der i så
> fald åbent for DHCP i firewall'en? Nogle udbydere har en enormt
> restrektiv DHCP-politik, Tele2 var på et tidspunkt nede på at tildele
> IP-adresser for 15 minutter ad gangen (så maskinen skulle bede om at
> få lov at beholde IP-adressen med 15 minutters interval).
Jeg har bestilt en fast IP. Hvordan de tildeler den ved jeg så ikke
lige, for jeg prøvede at sætte min laptop på, for at eliminere
spørgsmålet om det er min firewall, der er for restriktiv. Her fik
jeg en helt anden IP, så det lader ikke til at være MAC adressen på
D-link modemet, de forcer det på. I hvert fald er jeg på et
spørgsmål om, hvad der sker, hvis en anden bruger indtaster min IP i
sit udstyr bleven oplyst at så ville der være problemer (tænk, hvis
en anden bruger så starter en DHCP op, der annoncerer ud mod samme
netværk?)
Men du tænker på om jeg har åbnet for udfrakommende DHCP
tildelinger? Der er spærret for port 67 & 68 fra IRL til hjemmet. Det
kunne være jeg skulle prøve at åbne for port 67?
--
Take Care
Kim Emax
| |
Kent Friis (30-06-2006)
| Kommentar Fra : Kent Friis |
Dato : 30-06-06 16:37 |
|
Den 30 Jun 2006 05:47:27 -0700 skrev Kim Emax:
> Kent Friis skrev:
>
>> Host Unreachable.
>>
>> Det IP-nummer der står til venstre burde være nummeret på den maskine
>> der siger "jeg kan desværre ikke finde den maskine du forsøger at
>> kommunikere med".
>
> ahh, det forklarer så nok også, hvorfor ADSL lampen var inaktiv...
>
>> Og nu tænker jeg så: DHCP... Kræver netværket DHCP, og er der i så
>> fald åbent for DHCP i firewall'en? Nogle udbydere har en enormt
>> restrektiv DHCP-politik, Tele2 var på et tidspunkt nede på at tildele
>> IP-adresser for 15 minutter ad gangen (så maskinen skulle bede om at
>> få lov at beholde IP-adressen med 15 minutters interval).
>
> Jeg har bestilt en fast IP.
Ja det har jeg også, og det første halve år virkede det fint, når
ellers Tele2's udstyr virkede (nedetider på nogen gange flere timer
ad gangen). På et tidspunkt besluttede de sig så åbenbart for at de
ikke kunne få det til at virkede, og skiftede udstyret ud med det
billigste lort de kunne finde, som kun kan køre DHCP.
Så kunne man brokke sig lige så meget man har lyst til, de fatter
bare ikke at D'et i DHCP står for "dynamisk", og at nogen af os
har bestilt fast IP for at undgå besværet med dynamisk IP. Tvært
imod tillod de sig endda at påstå at det var slet ikke det jeg
ønskede, men derimod at have fast IP hver gang.
> Hvordan de tildeler den ved jeg så ikke
> lige, for jeg prøvede at sætte min laptop på, for at eliminere
> spørgsmålet om det er min firewall, der er for restriktiv. Her fik
> jeg en helt anden IP, så det lader ikke til at være MAC adressen på
> D-link modemet, de forcer det på. I hvert fald er jeg på et
> spørgsmål om, hvad der sker, hvis en anden bruger indtaster min IP i
> sit udstyr bleven oplyst at så ville der være problemer (tænk, hvis
> en anden bruger så starter en DHCP op, der annoncerer ud mod samme
> netværk?)
>
> Men du tænker på om jeg har åbnet for udfrakommende DHCP
> tildelinger? Der er spærret for port 67 & 68 fra IRL til hjemmet. Det
> kunne være jeg skulle prøve at åbne for port 67?
Jeg har denne i mit iptables-script:
r iptables -A INPUT -p udp --sport 67 --dport 68 -j ACCEPT
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Kim Emax (04-07-2006)
| Kommentar Fra : Kim Emax |
Dato : 04-07-06 12:29 |
|
Kent Friis skrev:
> Ja det har jeg også, og det første halve år virkede det fint, når
> ellers Tele2's udstyr virkede (nedetider på nogen gange flere timer
> ad gangen). På et tidspunkt besluttede de sig så åbenbart for at de
> ikke kunne få det til at virkede, og skiftede udstyret ud med det
> billigste lort de kunne finde, som kun kan køre DHCP.
>
> Så kunne man brokke sig lige så meget man har lyst til, de fatter
> bare ikke at D'et i DHCP står for "dynamisk", og at nogen af os
> har bestilt fast IP for at undgå besværet med dynamisk IP. Tvært
> imod tillod de sig endda at påstå at det var slet ikke det jeg
> ønskede, men derimod at have fast IP hver gang.
Christ! Mit problem nu er at linien tilsyneladende lukker ned, hvis der
ikke er trafik indefra. Så sidder jeg på jobbet og kan ikke bruge
hjemmet som jumpstation til mine servere
> Jeg har denne i mit iptables-script:
>
> r iptables -A INPUT -p udp --sport 67 --dport 68 -j ACCEPT
ok, jeg har kun åbnet for 67, jeg prøver lige den der, når jeg igen
kan komme i nærheden af min server (pt. er der igen ikke forbindelse)
--
Take Care
Kim Emax
| |
Kim Emax (04-07-2006)
| Kommentar Fra : Kim Emax |
Dato : 04-07-06 12:38 |
|
Kim Emax skrev:
> > r iptables -A INPUT -p udp --sport 67 --dport 68 -j ACCEPT
>
> ok, jeg har kun åbnet for 67, jeg prøver lige den der, når jeg igen
> kan komme i nærheden af min server (pt. er der igen ikke forbindelse)
Så kom jeg sgu igennem hjemtil og jeg havde sat det samme ind i mine
regler som du har skrevet, dog havde jeg byttet rundt på portnumrene,
ups
| |
Kim Emax (04-07-2006)
| Kommentar Fra : Kim Emax |
Dato : 04-07-06 12:40 |
|
Kim Emax skrev:
> Kim Emax skrev:
>
> > > r iptables -A INPUT -p udp --sport 67 --dport 68 -j ACCEPT
> >
> > ok, jeg har kun åbnet for 67, jeg prøver lige den der, når jeg igen
> > kan komme i nærheden af min server (pt. er der igen ikke forbindelse)
>
> Så kom jeg sgu igennem hjemtil og jeg havde sat det samme ind i mine
> regler som du har skrevet, dog havde jeg byttet rundt på portnumrene,
> ups
Note: den er lidt anderledes:
$IPTABLES -A INPUT -p udp -i $WAN_IFACE -m udp --sport 67 --dport 68 -j
ACCEPT
--
Take Care
Kim Emax
| |
|
|