---

Hej

Jeg fik på et tidspunkt en hel del logentries som jeg
troede var fra en portscan.

Det har vist sig at være svar-pakker fra når jeg har brugt
mit netscape på Internet.

Det må være min firewall som er sat forkert op. Er der nogen
der lige vil se om det ser fornuftigt ud?

fra /etc/sysconfig/ipchains:

# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
# firewall; such entries will *not* be listed here.
:input ACCEPT
:forward ACCEPT
:output ACCEPT
-A input -s 0/0 -d 0/0 22 -p tcp -y -j ACCEPT
-A input -s 0/0 -d 0/0 23 -p tcp -y -j ACCEPT
-A input -s 0/0 -d 0/0 25 -p tcp -y -j ACCEPT
-A input -s 0/0 -d 0/0 80 -p tcp -y -j ACCEPT
-A input -s 0/0 -d 0/0 21 -p tcp -y -j ACCEPT
-A input -s 0/0 -d 0/0 123 -p tcp -y -j ACCEPT
-A input -s 0/0 -d 0/0 123 -p udp -j ACCEPT
-A input -s 0/0 -d 0/0 -i lo -j ACCEPT
-A input -s 0/0 -d 0/0 -i eth1 -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j DENY
-A input -p tcp -s 0/0 -d 0/0 2049 -y -j DENY
-A input -p udp -s 0/0 -d 0/0 0:1023 -j DENY
-A input -p udp -s 0/0 -d 0/0 2049 -j DENY
-A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j DENY
-A input -p tcp -s 0/0 -d 0/0 7100 -y -j DENY
#-A input -l

Jeg har #'et den sidste linie da jeg regnede med at det var den
som loggede alle de svar entries.

en ipchains -L giver:

Chain input (policy ACCEPT):
target prot opt source destination ports
ACCEPT udp ------ ns3.tele.dk anywhere domain -> any
ACCEPT udp ------ ns3.inet.tele.dk anywhere domain -> any
ACCEPT tcp -y---- anywhere anywhere any -> ssh
ACCEPT tcp -y---- anywhere anywhere any -> telnet
ACCEPT tcp -y---- anywhere anywhere any -> smtp
ACCEPT tcp -y---- anywhere anywhere any -> http
ACCEPT tcp -y---- anywhere anywhere any -> ftp
ACCEPT tcp -y---- anywhere anywhere any -> ntp
ACCEPT udp ------ anywhere anywhere any -> ntp
ACCEPT all ------ anywhere anywhere n/a
ACCEPT all ------ anywhere anywhere n/a
DENY tcp -y---- anywhere anywhere any -> 0:1023
DENY tcp -y---- anywhere anywhere any -> nfs
DENY udp ------ anywhere anywhere any -> 0:1023
DENY udp ------ anywhere anywhere any -> nfs
DENY tcp -y---- anywhere anywhere any -> x11:6009
DENY tcp -y---- anywhere anywhere any -> xfs
Chain forward (policy ACCEPT):
Chain output (policy ACCEPT):

Jeg syntes selv at det ser fornuftigt ud.

Venlig hilsen

Bent Wagner

---

Den 19 Oct 2001 11:05:38 GMT skrev Bent Wagner:
>Hej
>
>Jeg fik på et tidspunkt en hel del logentries som jeg
>troede var fra en portscan.
>
>Det har vist sig at være svar-pakker fra når jeg har brugt
>mit netscape på Internet.

Hvis nu du havde postet i samme tråd, så kunne vi også se hvad problemet
var. Det var dig med ICMP'erne? så er det altså ca. 200 inlæg og 24
timer siden...

>Det må være min firewall som er sat forkert op. Er der nogen
>der lige vil se om det ser fornuftigt ud?
>
>fra /etc/sysconfig/ipchains:
>
># Firewall configuration written by lokkit
># Manual customization of this file is not recommended.
># Note: ifup-post will punch the current nameservers through the
># firewall; such entries will *not* be listed here.
>:input ACCEPT

Policy = accept?

Dvs. folk bliver kun lukket ude, hvis de forsøger noget du selv har
tænkt på. Hvis de forsøger noget du ikke har overvejet, så er der fri
adgang!!!

ALTID sætte policy til DENY eller REJECT.

>:forward ACCEPT
>:output ACCEPT
>-A input -s 0/0 -d 0/0 22 -p tcp -y -j ACCEPT

Autogenereret gylle. Kræv at source er en IP-adresse... Ellers var det
sg* nok ikke TCP/IP

>-A input -s 0/0 -d 0/0 23 -p tcp -y -j ACCEPT

Åbn for telnet - nå ja, hvad skal vi med en firewall, når hoveddøren
står åben?

>-A input -s 0/0 -d 0/0 25 -p tcp -y -j ACCEPT
>-A input -s 0/0 -d 0/0 80 -p tcp -y -j ACCEPT
>-A input -s 0/0 -d 0/0 21 -p tcp -y -j ACCEPT

FTP? Forhåbentlig kun anonymous, og forhåbentlig en sikker ftp-server
konfiguration?

>-A input -s 0/0 -d 0/0 123 -p tcp -y -j ACCEPT
>-A input -s 0/0 -d 0/0 123 -p udp -j ACCEPT
>-A input -s 0/0 -d 0/0 -i lo -j ACCEPT
>-A input -s 0/0 -d 0/0 -i eth1 -j ACCEPT
>-A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j DENY
>-A input -p tcp -s 0/0 -d 0/0 2049 -y -j DENY
>-A input -p udp -s 0/0 -d 0/0 0:1023 -j DENY
>-A input -p udp -s 0/0 -d 0/0 2049 -j DENY
>-A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j DENY
>-A input -p tcp -s 0/0 -d 0/0 7100 -y -j DENY
>#-A input -l
>
>Jeg har #'et den sidste linie da jeg regnede med at det var den
>som loggede alle de svar entries.

Jep, og da din policy er ACCEPT, så er det rent faktisk trafik der
GÅR IND der bliver logget - ikke trafik der bliver kasseret!!!

>Jeg syntes selv at det ser fornuftigt ud.

Meget uenig.

Mvh
Kent
--
War does not determine who is right, only who is left.

---

kfr@fleggaard.dk (Kent Friis) wrote:

>Meget uenig.

Ditto.

Jeg er især rystet over, at det ser ud til at være sat op af et eller
andet automatisk konfigurationsværktøj - ikke af en uerfaren bruger.


--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer

---

>Jeg er især rystet over, at det ser ud til at være sat op af et eller
>andet automatisk konfigurationsværktøj - ikke af en uerfaren bruger.

Det er hvad man får når man vælger 'medium security' under
installationen af RH 7.1.

>
>--
>Allan Olesen, Lunderskov
>
>"UNIX er overflødigt." - Lars P. Fischer

Mvh

Bent Wagner

---

>
>ALTID sætte policy til DENY eller REJECT.


>>-A input -s 0/0 -d 0/0 23 -p tcp -y -j ACCEPT
>
>Åbn for telnet - nå ja, hvad skal vi med en firewall, når hoveddøren
>står åben?

Har godt set den, men telnet er disablet i xinitrc, så jeg lod den stå.

>>-A input -s 0/0 -d 0/0 25 -p tcp -y -j ACCEPT
>>-A input -s 0/0 -d 0/0 80 -p tcp -y -j ACCEPT
>>-A input -s 0/0 -d 0/0 21 -p tcp -y -j ACCEPT
>
>FTP? Forhåbentlig kun anonymous, og forhåbentlig en sikker ftp-server
>konfiguration?

FTP er rettet til så der ikke er guest eller lign login.

>>Jeg har #'et den sidste linie da jeg regnede med at det var den
>>som loggede alle de svar entries.
>
>Jep, og da din policy er ACCEPT, så er det rent faktisk trafik der
>GÅR IND der bliver logget - ikke trafik der bliver kasseret!!!

Der blev også så still efter jeg "¨ede den.


>>Jeg syntes selv at det ser fornuftigt ud.
>
>Meget uenig.
>
>Mvh
>Kent


Tak for svaret. Jeg vil sætte mig ordentligt ind i opsætning
af firewall.

Mvh

Bent Wagner

---

Den 19 Oct 2001 20:30:29 GMT skrev Bent Wagner:
>>
>>ALTID sætte policy til DENY eller REJECT.
>
>
>>>-A input -s 0/0 -d 0/0 23 -p tcp -y -j ACCEPT
>>
>>Åbn for telnet - nå ja, hvad skal vi med en firewall, når hoveddøren
>>står åben?
>
>Har godt set den, men telnet er disablet i xinitrc, så jeg lod den stå.

og når en opgradering enabler telnet uden at spørge?

>>>-A input -s 0/0 -d 0/0 25 -p tcp -y -j ACCEPT
>>>-A input -s 0/0 -d 0/0 80 -p tcp -y -j ACCEPT
>>>-A input -s 0/0 -d 0/0 21 -p tcp -y -j ACCEPT
>>
>>FTP? Forhåbentlig kun anonymous, og forhåbentlig en sikker ftp-server
>>konfiguration?
>
>FTP er rettet til så der ikke er guest eller lign login.

IKKE guest? FTP bør kun bruges til anonymous, alt andet bør være scp.

Mvh
Kent
--
War does not determine who is right, only who is left.

---

>>Har godt set den, men telnet er disablet i xinitrc, så jeg lod den stå.
>
>og når en opgradering enabler telnet uden at spørge?

Du har ret, telnet skal blokeres.
>>
>>FTP er rettet til så der ikke er guest eller lign login.
>
>IKKE guest? FTP bør kun bruges til anonymous, alt andet bør være scp.
>

Ok, ftpaccess er sat til anonymous only.

Jeg har lavet et helt nyt ipchains-script, baseret på
'securing and optimizing Linux Redhat edition'.


Mvh

Bent Wagner