/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
ipchains og netmeeting igen...
Fra : Peter Andersen


Dato : 10-10-01 22:09

Jeg kører ipchains -P input DENY og så lukker op for hvad jeg bruger af
source port, dvs. 80, 119, 25 etc... og en enkelt destination port 80.. Dvs.
opstillingen er den gængse med en linux(RH62, Kerne 2,2) som
server/router/firewall og et LAN.
Men jeg kan ikke rigtig få netmeeting til at spille. Dvs. jeg kører det H323
modul, men det holder vist bare styr på de synamiske UDP porte, men jeg snak
vist også lukke noget andet op ikke?
Microsoft siger:
Port Purpose
-------------------------------------
389 Internet Locator Server [Transmission Control Protocol (TCP)]
522 User Location Server (TCP)
1503 T.120 (TCP)
1720 H.323 call setup (TCP)
1731 Audio call control (TCP)
Dynamic H.323 call control (TCP)
Dynamic H.323 streaming [Realtime Transport Protocol (RTP) over User
Datagram Protocol (UDP)]


Men menes der nu source porte eller hvad? jeg har prøvet at lukke de porte
op via -sport xx og så kan jeg få en forbindelse igennem, men ingen streamin
af hverken lyd eller video.. jeg skal jo også kunne MODTAGE et
opkald...

Hvordan skal jeg sætte det op? har noge prøvet?

vh. Peter Andersen...








 
 
Rasmus Bøg Hansen (10-10-2001)
Kommentar
Fra : Rasmus Bøg Hansen


Dato : 10-10-01 23:20

Peter Andersen wrote:

> Jeg kører ipchains -P input DENY og så lukker op for hvad jeg bruger
> af source port, dvs. 80, 119, 25 etc... og en enkelt destination port
> 80.. Dvs. opstillingen er den gængse med en linux(RH62, Kerne 2,2) som
> server/router/firewall og et LAN.
> Men jeg kan ikke rigtig få netmeeting til at spille. Dvs. jeg kører
> det H323 modul, men det holder vist bare styr på de synamiske UDP
> porte, men jeg snak vist også lukke noget andet op ikke?
> Microsoft siger:
> Port Purpose
> -------------------------------------
> 389 Internet Locator Server [Transmission Control Protocol
> (TCP)]
> 522 User Location Server (TCP)
> 1503 T.120 (TCP)
> 1720 H.323 call setup (TCP)
> 1731 Audio call control (TCP)
> Dynamic H.323 call control (TCP)
> Dynamic H.323 streaming [Realtime Transport Protocol (RTP) over
> User
> Datagram Protocol (UDP)]
>
>
> Men menes der nu source porte eller hvad? jeg har prøvet at lukke de
> porte op via -sport xx og så kan jeg få en forbindelse igennem, men
> ingen streamin af hverken lyd eller video.. jeg skal jo også kunne
> MODTAGE et opkald...

Jeg har kun prøvet med iptables, som ikke har et conntrack-modul...

I iptables skal der åbnes for alle de ovenstående porte indadgående.
Dynamic betyder at alle UDP-porte >= 1024 og alle TCP porte >= 1024
skal åbnes...

1720 skal åbnes udadtil - hvad der ellers skal åbnes udaf er jeg ikke
100% sikker på - men 389, 522, 1503, 1731 og >= 1024 skal sikkert
også...

Jeg tror kun at h383-modulet holder styr på hvilke forbindelser, der
skal NAT'es hvortil - ikke hvad der skal åbnes som i iptables.

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
There are two major products that come out of Berkeley: LSD and BSD.
We don't believe this to be a coincidence.
-- Jeremy S. Anderson
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

Peter Andersen (11-10-2001)
Kommentar
Fra : Peter Andersen


Dato : 11-10-01 09:14

"Rasmus Bøg Hansen" <moffespam@amagerkollegiet.dk> wrote in message
news:9q2hi0$f2q$1@carlsberg.amagerkollegiet.dk...
> Peter Andersen wrote:
>
> > Jeg kører ipchains -P input DENY og så lukker op for hvad jeg bruger
> > af source port, dvs. 80, 119, 25 etc... og en enkelt destination port
> > 80.. Dvs. opstillingen er den gængse med en linux(RH62, Kerne 2,2) som
> > server/router/firewall og et LAN.
> > Men jeg kan ikke rigtig få netmeeting til at spille. Dvs. jeg kører
> > det H323 modul, men det holder vist bare styr på de synamiske UDP
> > porte, men jeg snak vist også lukke noget andet op ikke?
> > Microsoft siger:
> > Port Purpose
> > -------------------------------------
> > 389 Internet Locator Server [Transmission Control Protocol
> > (TCP)]
> > 522 User Location Server (TCP)
> > 1503 T.120 (TCP)
> > 1720 H.323 call setup (TCP)
> > 1731 Audio call control (TCP)
> > Dynamic H.323 call control (TCP)
> > Dynamic H.323 streaming [Realtime Transport Protocol (RTP) over
> > User
> > Datagram Protocol (UDP)]
> >
> >
> > Men menes der nu source porte eller hvad? jeg har prøvet at lukke de
> > porte op via -sport xx og så kan jeg få en forbindelse igennem, men
> > ingen streamin af hverken lyd eller video.. jeg skal jo også kunne
> > MODTAGE et opkald...
>
> Jeg har kun prøvet med iptables, som ikke har et conntrack-modul...
>
> I iptables skal der åbnes for alle de ovenstående porte indadgående.
> Dynamic betyder at alle UDP-porte >= 1024 og alle TCP porte >= 1024
> skal åbnes...
>
> 1720 skal åbnes udadtil - hvad der ellers skal åbnes udaf er jeg ikke
> 100% sikker på - men 389, 522, 1503, 1731 og >= 1024 skal sikkert
> også...

ok det har jeg gjort og det virker også. Og når de er åbne kan jeg også få
passiv ftp til at køre, og nok også filoverførsel i ICQ m.m....
Men er det den rigtige måde at gøre det på i ipchains?
Men er der ikke en ulempe/risiko ved at ha 1024:65535 åben som d og s porte?
jeg kan ikke se nogen ide i at lukke en en masse under 1024, men ha det hele
åben over 1024.... hvad er forskellen?

Og hvis det skal åbnes, hvad kan man så gøre sikkerhedsmæssigt?










Peter Andersen (11-10-2001)
Kommentar
Fra : Peter Andersen


Dato : 11-10-01 17:42

"Peter Andersen" <peterandersen@e-box.dk> wrote in message
news:3bc554e6$0$231$edfadb0f@dspool01.news.tele.dk...
> "Rasmus Bøg Hansen" <moffespam@amagerkollegiet.dk> wrote in message
> news:9q2hi0$f2q$1@carlsberg.amagerkollegiet.dk...
> > Peter Andersen wrote:
> >
> > > Jeg kører ipchains -P input DENY og så lukker op for hvad jeg bruger
> > > af source port, dvs. 80, 119, 25 etc... og en enkelt destination port
> > > 80.. Dvs. opstillingen er den gængse med en linux(RH62, Kerne 2,2) som
> > > server/router/firewall og et LAN.
> > > Men jeg kan ikke rigtig få netmeeting til at spille. Dvs. jeg kører
> > > det H323 modul, men det holder vist bare styr på de synamiske UDP
> > > porte, men jeg snak vist også lukke noget andet op ikke?
> > > Microsoft siger:
> > > Port Purpose
> > > -------------------------------------
> > > 389 Internet Locator Server [Transmission Control Protocol
> > > (TCP)]
> > > 522 User Location Server (TCP)
> > > 1503 T.120 (TCP)
> > > 1720 H.323 call setup (TCP)
> > > 1731 Audio call control (TCP)
> > > Dynamic H.323 call control (TCP)
> > > Dynamic H.323 streaming [Realtime Transport Protocol (RTP) over
> > > User
> > > Datagram Protocol (UDP)]
> > >
> > >
> > > Men menes der nu source porte eller hvad? jeg har prøvet at lukke de
> > > porte op via -sport xx og så kan jeg få en forbindelse igennem, men
> > > ingen streamin af hverken lyd eller video.. jeg skal jo også kunne
> > > MODTAGE et opkald...
> >
> > Jeg har kun prøvet med iptables, som ikke har et conntrack-modul...
> >
> > I iptables skal der åbnes for alle de ovenstående porte indadgående.
> > Dynamic betyder at alle UDP-porte >= 1024 og alle TCP porte >= 1024
> > skal åbnes...
> >
> > 1720 skal åbnes udadtil - hvad der ellers skal åbnes udaf er jeg ikke
> > 100% sikker på - men 389, 522, 1503, 1731 og >= 1024 skal sikkert
> > også...
>
> ok det har jeg gjort og det virker også. Og når de er åbne kan jeg også få
> passiv ftp til at kø.... bla. bla...

En underlig ting jeg opdagede: hvis jeg kører ipchains -A input -p
tcp --sport 1024:65535 -j ACCEPT så åbner jeg op for ALT trafik også
incommung til ftp og alt muligt som ellers er lukket med -P input DENY...
Hvordan kan den komando lukke op for alt trafik på porte under 1024 også??!!









Allan Olesen (11-10-2001)
Kommentar
Fra : Allan Olesen


Dato : 11-10-01 19:08

"Peter Andersen" <peterandersen@e-box.dk> wrote:

>En underlig ting jeg opdagede: hvis jeg kører ipchains -A input -p
>tcp --sport 1024:65535 -j ACCEPT så åbner jeg op for ALT trafik også
>incommung til ftp og alt muligt som ellers er lukket med -P input DENY...
>Hvordan kan den komando lukke op for alt trafik på porte under 1024 også??!!

Jeg tror altså, at du roder lidt rundt i source og destination ports.

Source port er den port, en pakke er sendt fra. Ved indkommende pakker
udefra kan du derfor næsten ikke bruge source port til noget som helst
i dine filterregler. Grimme mennesker, der vil ind på din maskine, kan
jo selv vælge, hvilken source port, de sender pakkerne fra.

Ved indgående pakker er det derfor først og fremmest destination port,
du skal bekymre dig om i dine filterregler.

Når du så laver en regel, som åbner for indgående trafik til bestemte
porte, kan det naturligvis være fint nok at supplere reglen med krav
til source port - hvis du altså på forhånd kender source port, hvilket
man som ofte ikke gør.

Men den regel, du har lavet ovenfor, åbner for alt trafik (og angreb)
udefra, hvis bare folk sørger for at sende fra en port mellem 1024 og
65535 - og det er ca. lige så godt som at køre helt uden beskyttelse.

Prøv evt at hoppe tilbage til den anden tråd og læs min beskrivelse
af, hvordan kommunikationen med en webserver foregår. Det burde også
kunne give lidt ide om forskellen på source og destination ports.

Vi kan lige så godt tage den her fra dit andet indlæg også:
>Men er der ikke en ulempe/risiko ved at ha 1024:65535 åben som d og s porte?
>jeg kan ikke se nogen ide i at lukke en en masse under 1024, men ha det hele
>åben over 1024.... hvad er forskellen?

Porte under 1024 er reserveret til en række services, som sidder og
lytter konstant - f.eks. smtp på port 25 dns på port 53, http på port
80 osv. Derfor etableres almindelige udgående forbindelser altid fra
højere porte, som tildeles dynamisk.

Det betyder, at indgående pakker til en port under 1024 med næsten
100% sikkerhed kan betragtes som et forsøg på at kommunikere med en
service, du har kørende. Nogle af disse services kan være sårbare for
angreb. Derfor skal du tænke dig godt om, før du åbner for porte under
1024.

Man kan desværre ikke konkludere omvendt, at porte over 1024 er sikre.
Der findes en del services, som lytter på "uatoriserede" porte over
1024, f.eks. proxy-servere på port 3128 eller 8080, eller X på port
600x, eller VNC på 580x og 590x. Det er derfor, jeg i den anden tråd
anbefalede dig at tvinge udgående forbindelser til at benytte bestemte
porte i et område, som ligger endnu højere. Så kan du nøjes med at
åbne for pakker til disse porte uden at risikere at åbne for
VNC-adgang til din maskine.

Kunne du ikke prøve at poste de filterregler, du har sat op indtil
videre?


--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer

Peter Andersen (12-10-2001)
Kommentar
Fra : Peter Andersen


Dato : 12-10-01 19:00

"Allan Olesen" <aolesen@post3.tele.dk> wrote in message
news:3bc5e011$0$254$edfadb0f@dspool01.news.tele.dk...
> "Peter Andersen" <peterandersen@e-box.dk> wrote:
>
> >En underlig ting jeg opdagede: hvis jeg kører ipchains -A input -p
> >tcp --sport 1024:65535 -j ACCEPT så åbner jeg op for ALT trafik også
> >incommung til ftp og alt muligt som ellers er lukket med -P input DENY...
> >Hvordan kan den komando lukke op for alt trafik på porte under 1024
også??!!
>
> Jeg tror altså, at du roder lidt rundt i source og destination ports.

Næ, lige det har jeg nu styr på...


> Men den regel, du har lavet ovenfor, åbner for alt trafik (og angreb)
> udefra, hvis bare folk sørger for at sende fra en port mellem 1024 og
> 65535 - og det er ca. lige så godt som at køre helt uden beskyttelse.
Mit problem var nemlig at den åbnede for alle destination adgange...!

> Kunne du ikke prøve at poste de filterregler, du har sat op indtil
> videre?

jo dem kan du godt få....

Men ang. source porte. Jeg har som sagt lukket for alt og åbnet for en
enkelt destination port og for de source porte jeg bruger.. Men skulle der
være noget galt i at åbne for alle source porte? Så længe dporte er
spærret!?




Allan Olesen (13-10-2001)
Kommentar
Fra : Allan Olesen


Dato : 13-10-01 21:28

"Peter Andersen" <peterandersen@e-box.dk> wrote:

>Men ang. source porte. Jeg har som sagt lukket for alt og åbnet for en
>enkelt destination port og for de source porte jeg bruger.. Men skulle der
>være noget galt i at åbne for alle source porte? Så længe dporte er
>spærret!?

Ja, det kan der så afgjort.

Hvis din default policy er DENY, suppleret med en stak specifikke
ACCEPT-regler, vil en pakke bare skulle matche _een_ af disse for at
slippe igennem. Så hvis du laver en regel, der tillader alt fra
bestemte source porte, er alle dine andre regler værdiløse.

(Undskyld overlap med det svar, jeg har givet dig i email, men der kan
jo være andre, som læser med her, som også gerne vil høre svaret.)


--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer

Rasmus Bøg Hansen (14-10-2001)
Kommentar
Fra : Rasmus Bøg Hansen


Dato : 14-10-01 01:06

Peter Andersen wrote:

> "Allan Olesen" <aolesen@post3.tele.dk> wrote in message
> news:3bc5e011$0$254$edfadb0f@dspool01.news.tele.dk...
>> "Peter Andersen" <peterandersen@e-box.dk> wrote:
>>
>> >En underlig ting jeg opdagede: hvis jeg kører ipchains -A input -p
>> >tcp --sport 1024:65535 -j ACCEPT så åbner jeg op for ALT trafik også
>> >incommung til ftp og alt muligt som ellers er lukket med -P input
>> >DENY... Hvordan kan den komando lukke op for alt trafik på porte
>> >under 1024
> også??!!
>>
>> Jeg tror altså, at du roder lidt rundt i source og destination ports.
>
> Næ, lige det har jeg nu styr på...

I så tilfælde har du misforstået mig. Du skal åbne al trafik med
1024:65535 som destinationsport for at netmeeting virker.

> Men ang. source porte. Jeg har som sagt lukket for alt og åbnet for en
> enkelt destination port og for de source porte jeg bruger.. Men
> skulle der være noget galt i at åbne for alle source porte? Så længe
> dporte er spærret!?

Tja, vil du bruge netmeeting skal de nu engang åbnes... Og at åben for
alle source-porte over 1024 vil jeg anse som en stor sikkerhedsfejl. Så
vil alle almindelige programmer (dvs. som bruger source-port > 1024)
kunne forbinde sig til _alt_ på din maskine...

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
God put me on earth to accomplish a certain number of things.
Right now I am so far behind I will never die.
-Bill Waterson, Calvin and Hobbes
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

Peter Andersen (14-10-2001)
Kommentar
Fra : Peter Andersen


Dato : 14-10-01 08:03

"Rasmus Bøg Hansen" <moffespam@amagerkollegiet.dk> wrote in message
news:9qaktc$jh5$1@carlsberg.amagerkollegiet.dk...
> Peter Andersen wrote:
>
> > "Allan Olesen" <aolesen@post3.tele.dk> wrote in message
> > news:3bc5e011$0$254$edfadb0f@dspool01.news.tele.dk...
> >> "Peter Andersen" <peterandersen@e-box.dk> wrote:
> >>
> >> >En underlig ting jeg opdagede: hvis jeg kører ipchains -A input -p
> >> >tcp --sport 1024:65535 -j ACCEPT så åbner jeg op for ALT trafik også
> >> >incommung til ftp og alt muligt som ellers er lukket med -P input
> >> >DENY... Hvordan kan den komando lukke op for alt trafik på porte
> >> >under 1024
> > også??!!
> >>
> >> Jeg tror altså, at du roder lidt rundt i source og destination ports.
> >
> > Næ, lige det har jeg nu styr på...
>
> I så tilfælde har du misforstået mig. Du skal åbne al trafik med
> 1024:65535 som destinationsport for at netmeeting virker.
>
> > Men ang. source porte. Jeg har som sagt lukket for alt og åbnet for en
> > enkelt destination port og for de source porte jeg bruger.. Men
> > skulle der være noget galt i at åbne for alle source porte? Så længe
> > dporte er spærret!?
>
> Tja, vil du bruge netmeeting skal de nu engang åbnes... Og at åben for
> alle source-porte over 1024 vil jeg anse som en stor sikkerhedsfejl. Så
> vil alle almindelige programmer (dvs. som bruger source-port > 1024)
> kunne forbinde sig til _alt_ på din maskine...

Ja, det er det jeg tænkte.. Men nu skal jeg i øjeblikket kun bruge NM til
kommunikation med en specifik IP adresse... Så kan jeg bare lave mine regler
med henhold på den...

I øvrigt så mente jeg at den førnævnte regel lukkede op for alle destination
porte på min maskine.... hvilket jeg stadig ikke forstår! (sorry)

Men jeg kan godt se at det ville være tåbeligt at skulla ha netmeeting til
at køre på den måde.. Men ken der nogen andre programmer som er mere
fornufige med hensyn til at køre igennem en firewall? Har kigget lidt på
CuSeeMe, som vist har en del indstillingsmuligheder, men som også (så vidt
jeg kan se) bruge nogle dynamiske tcp/udp områder...

Men tak for hjælpen til alle der har bidraget..





Kent Friis (14-10-2001)
Kommentar
Fra : Kent Friis


Dato : 14-10-01 09:55

Den Sun, 14 Oct 2001 09:03:00 +0200 skrev Peter Andersen:
>"Rasmus Bøg Hansen" <moffespam@amagerkollegiet.dk> wrote in message
>news:9qaktc$jh5$1@carlsberg.amagerkollegiet.dk...
>> Peter Andersen wrote:
>>
>> > "Allan Olesen" <aolesen@post3.tele.dk> wrote in message
>> > news:3bc5e011$0$254$edfadb0f@dspool01.news.tele.dk...
>> >> "Peter Andersen" <peterandersen@e-box.dk> wrote:
>> >>
>> >> >En underlig ting jeg opdagede: hvis jeg kører ipchains -A input -p
>> >> >tcp --sport 1024:65535 -j ACCEPT så åbner jeg op for ALT trafik også
>> >> >incommung til ftp og alt muligt som ellers er lukket med -P input
>> >> >DENY... Hvordan kan den komando lukke op for alt trafik på porte
>> >> >under 1024
>> > også??!!
>> >>
>> >> Jeg tror altså, at du roder lidt rundt i source og destination ports.
>> >
>> > Næ, lige det har jeg nu styr på...
>>
>> I så tilfælde har du misforstået mig. Du skal åbne al trafik med
>> 1024:65535 som destinationsport for at netmeeting virker.
>>
>> > Men ang. source porte. Jeg har som sagt lukket for alt og åbnet for en
>> > enkelt destination port og for de source porte jeg bruger.. Men
>> > skulle der være noget galt i at åbne for alle source porte? Så længe
>> > dporte er spærret!?
>>
>> Tja, vil du bruge netmeeting skal de nu engang åbnes... Og at åben for
>> alle source-porte over 1024 vil jeg anse som en stor sikkerhedsfejl. Så
>> vil alle almindelige programmer (dvs. som bruger source-port > 1024)
>> kunne forbinde sig til _alt_ på din maskine...
>
>Ja, det er det jeg tænkte.. Men nu skal jeg i øjeblikket kun bruge NM til
>kommunikation med en specifik IP adresse... Så kan jeg bare lave mine regler
>med henhold på den...
>
>I øvrigt så mente jeg at den førnævnte regel lukkede op for alle destination
>porte på min maskine.... hvilket jeg stadig ikke forstår! (sorry)

Jeg tror du har fuldstændig misforstået source og destination port.

På INPUT: trafik fra internettet til dig:

Source port er den port et program bruger på den maskine du kommunikerer
med - det værende en server (fx port 80) eller en angriber (port x, kan
være fx 53, 80, 137, 1025, 4000, 2347).

Destination port er den port et program bruger på DIN maskine. Denne
port er fast for servere på din maskine (fx port 80), men varierer
for andre programmer - dog altid >1023 (undtagen RSH[1][2]).

På OUTPUT: Trafik fra dig til internettet:

Source port er porten på din maskine, fast for servere, varierende for
andre programmer (>1023).

Destination port er porten på den fremmede maskine.

Mvh
Kent

[1] Wanted: RSH - armed and extremely dangerous, shoot on sight.

[2] SSH har også den dårlige vane, indtil man fjerner setuid bit'en.
--
War does not determine who is right, only who is left.

Peter Andersen (14-10-2001)
Kommentar
Fra : Peter Andersen


Dato : 14-10-01 13:30

> >I øvrigt så mente jeg at den førnævnte regel lukkede op for alle
destination
> >porte på min maskine.... hvilket jeg stadig ikke forstår! (sorry)
>
> Jeg tror du har fuldstændig misforstået source og destination port.
>
> På INPUT: trafik fra internettet til dig:
>
> Source port er den port et program bruger på den maskine du kommunikerer
> med - det værende en server (fx port 80) eller en angriber (port x, kan
> være fx 53, 80, 137, 1025, 4000, 2347).
>
> Destination port er den port et program bruger på DIN maskine. Denne
> port er fast for servere på din maskine (fx port 80), men varierer
> for andre programmer - dog altid >1023 (undtagen RSH[1][2]).
>
> På OUTPUT: Trafik fra dig til internettet:
>
> Source port er porten på din maskine, fast for servere, varierende for
> andre programmer (>1023).
>
> Destination port er porten på den fremmede maskine.

Jo.. det er jeg skam også klar over (igen igen).... Men det giver jo stadig
ikke noget resultat..

Mhv Peter



Kent Friis (14-10-2001)
Kommentar
Fra : Kent Friis


Dato : 14-10-01 14:51

Den Sun, 14 Oct 2001 14:30:19 +0200 skrev Peter Andersen:
>> >I øvrigt så mente jeg at den førnævnte regel lukkede op for alle
>destination
>> >porte på min maskine.... hvilket jeg stadig ikke forstår! (sorry)
>>
>> Jeg tror du har fuldstændig misforstået source og destination port.
>>
>> På INPUT: trafik fra internettet til dig:
>>
>> Source port er den port et program bruger på den maskine du kommunikerer
>> med - det værende en server (fx port 80) eller en angriber (port x, kan
>> være fx 53, 80, 137, 1025, 4000, 2347).
>>
>> Destination port er den port et program bruger på DIN maskine. Denne
>> port er fast for servere på din maskine (fx port 80), men varierer
>> for andre programmer - dog altid >1023 (undtagen RSH[1][2]).
>>
>> På OUTPUT: Trafik fra dig til internettet:
>>
>> Source port er porten på din maskine, fast for servere, varierende for
>> andre programmer (>1023).
>>
>> Destination port er porten på den fremmede maskine.
>
>Jo.. det er jeg skam også klar over (igen igen).... Men det giver jo stadig
>ikke noget resultat..

Med henvisning til:

> > Men ang. source porte. Jeg har som sagt lukket for alt og åbnet for en
> > enkelt destination port og for de source porte jeg bruger.. Men
> > skulle der være noget galt i at åbne for alle source porte? Så længe
> > dporte er spærret!?

Hvad forsøger du at opnå ved det? Alle pakker har _både_ en source og
en destination port. Du kan ikke både åbne og lukke for den samme pakke.

Både ipchains og iptables bliver udført i den rækkefølge de bliver
indsat (med -A, du kan indsætte dem et andet sted med -I), og den første
matchende regel der specificerer -j DENY, REJECT, DROP eller ACCEPT
afgør hvad der skal ske med pakken. De regler der står efter denne vil
IKKE blive udført.

Så hvis du har flg:

iptables -P input DROP
iptables -A input --sport 1024:65535 -j ACCEPT
iptables -A input --dport 1:65535 -j REJECT

så vil en pakke: sport:1025 dport:80 blive ACCEPT'et (trafik til din
webserver), hvorimod en pakke: sport:80 dport:1025 blive REJECTET
(trafik fra en webserver til din browser).

Mvh
Kent
--
War does not determine who is right, only who is left.

Peter Andersen (14-10-2001)
Kommentar
Fra : Peter Andersen


Dato : 14-10-01 18:14

"Kent Friis" <kfr@fleggaard.dk> wrote in message
news:9qc57a$11q$1@sunsite.dk...
> Den Sun, 14 Oct 2001 14:30:19 +0200 skrev Peter Andersen:
> >> >I øvrigt så mente jeg at den førnævnte regel lukkede op for alle
> >destination
> >> >porte på min maskine.... hvilket jeg stadig ikke forstår! (sorry)
> >>
> >> Jeg tror du har fuldstændig misforstået source og destination port.
> >>
> >> På INPUT: trafik fra internettet til dig:
> >>
> >> Source port er den port et program bruger på den maskine du
kommunikerer
> >> med - det værende en server (fx port 80) eller en angriber (port x, kan
> >> være fx 53, 80, 137, 1025, 4000, 2347).
> >>
> >> Destination port er den port et program bruger på DIN maskine. Denne
> >> port er fast for servere på din maskine (fx port 80), men varierer
> >> for andre programmer - dog altid >1023 (undtagen RSH[1][2]).
> >>
> >> På OUTPUT: Trafik fra dig til internettet:
> >>
> >> Source port er porten på din maskine, fast for servere, varierende for
> >> andre programmer (>1023).
> >>
> >> Destination port er porten på den fremmede maskine.
> >
> >Jo.. det er jeg skam også klar over (igen igen).... Men det giver jo
stadig
> >ikke noget resultat..
>
> Med henvisning til:
>
> > > Men ang. source porte. Jeg har som sagt lukket for alt og åbnet for en
> > > enkelt destination port og for de source porte jeg bruger.. Men
> > > skulle der være noget galt i at åbne for alle source porte? Så længe
> > > dporte er spærret!?
>
> Hvad forsøger du at opnå ved det?

Jeg skal heller ikke bruge det til ngoet nu, men det undrede mig bare at den
gjorde det. Jeg åbner for de porte når bruger netmeeting, men det er som
sagt kun ved en enkelt IP adresse, og der fungerer det som det ska. Så der
er ikke ngoe problem!

Mvh. Peter



Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408885
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste