[lug-ld] Ahnunghaber netfilter (iptables) gesucht

Hakon Benner hakon at halbrot.de
Sa Feb 17 17:02:37 CET 2018 

Hi, ich muss gleich mal was klarstellen: Es gibt zwei Varianten, wie ich als Firewall auf etwas laut Policy unerlaubtes reagieren kann: Drop (verwerfen) oder reject (ablehnen; RST-ACK). Dabei ist drop das gleiche wie "nicht beantworten" und reject das, was du mit bewusst beschreibst, aber es ist kein bewusstes verwerfen, sondern ein bewusstes ablehnen.

Für einen Scaner von außen auf einen bestimmten Service sieht drop genau so aus, wie wenn es den Service gar nicht gäbe und der Scanner läuft auf einen Timeout raus. Bei einem reject teilt man dem Scanner instantan mit, dass er den gescannten Service nicht erreichen darf.

Das was ich oben geschrieben hab bezieht sich allerdings auf TCP. Bei UDP sieht es wieder etwas anders aus.

In der Tabelle im folgenden Link ist das gut erklärt:
https://www.secuvera.de/blog/nmap-ergebnisse-open-closed-openfiltered-eine-uebersicht/

Gruß Hakon 

Am 17. Februar 2018 15:37:59 MEZ schrieb Peter Craciun <peter at fam-craciun.de>:
>Hallo Ekki,
>
>ich beantworte mal einen Teil deiner Frage(n), dann kann jmd anderes
>den 
>Rest machen. ;-)
>
>filtered ist nicht schlimm. Bzw. das heißt, dass die die Pakete an
>einer 
>Stelle (in dem Fall eure FW) gedroppt (verworfen) werden. Vorher wurden
>
>diese einfach nicht beantwortet. Jetzt werden sie bewusst verworfen.
>
>Bei den offene Ports ist immer die Frage ob man die braucht oder nicht.
>
>Zu deinem Beispiel DNS: Muss nur offen sein, wenn man über den DNS auch
>
>von außen etwas auflösen können soll. Grundsätzlich sind offene Ports 
>auch nicht böse, solange diese einen Zweck erfüllen und der Dienst der 
>hintendran steht ausreichend geschützt und gepatched ist.
>
>Zu dem scheinbar einzigen benötigten Port: 6000, der als X11 
>identifiziert wird.
>Falls das wirklich X11 ist, habe im Hinterkopf, dass das nicht
>unbedingt 
>empfehlenswert ist (war), aber das ist schon sehr alt, ggf. hat sich da
>
>auch einiges geändert in den letzten Jahren. Damals als ich mich mit
>dem 
>Thema auseinandergesetzt habe war es en vogue das über ssh zu machen, 
>dazu gib (gab es damals) auch fertige Lösungen mit Kompression und 
>anderen Dingen, die X11 (damals zumindest) nicht von Haus aus 
>mitgebracht hat.
>
>
>Grüße
>
>Peter
>
>Am 14.02.2018 um 18:08 schrieb Ekki Plicht (DF4OR):
>> Tag.
>> 
>> Wie ihr wisst bin ich einer der gefährlichsten Menschen im Internet: 
>> jemand mit gesundem Halbwissen :) Vor allem was Router betrifft.
>> 
>> Nun habe ich den zentralen Router unserer Firma in meiner
>Verantwortung. 
>> Nachdem ich bei einem bestimmten Problem nicht weiterkam, hat sich
>heute 
>> mal ein Supporter unseres lokalen Providers meine Konfiguration 
>> angeguckt. Er hat erst gelacht, dann die Firewallregeln geändert, so
>das 
>> es jetzt sicher sei, also kein unerlaubter Zugriff von Aussen möglich
>sei.
>> 
>> Ok, ich lerne ja gerne dazu.
>> 
>> Heute abend habe ich mal von zuhause aus einen Portscan auf unsere 
>> public IP Adresse gemacht, und siehe da, etliche Ports im State 
>> "filtered", drei sind "open", u.a. DNS (Port 53). WTF?
>> 
>> Oder verstehe ich da was falsch?
>> 
>> ----------------------------------------
>> Hier das erste Resultat von nmap, mit den Filterregeln des
>Supporters.
>> 
>> root at grappa ~ # nmap wimo*********
>> 
>> Starting Nmap 7.60 ( https://nmap.org ) at 2018-02-14 17:45 CET
>> Nmap scan report for wimo******  (x.x.x.x)
>> Host is up (0.034s latency).
>> Not shown: 983 closed ports
>> PORT     STATE    SERVICE
>> 22/tcp   filtered ssh
>> 23/tcp   filtered telnet
>> 53/tcp   open     domain
>> 135/tcp  filtered msrpc
>> 139/tcp  filtered netbios-ssn
>> 161/tcp  filtered snmp
>> 179/tcp  filtered bgp
>> 445/tcp  filtered microsoft-ds
>> 1900/tcp filtered upnp
>> 2000/tcp open     cisco-sccp
>> 2222/tcp filtered EtherNetIP-1
>> 2323/tcp filtered 3d-nfsd
>> 5998/tcp filtered ncd-diag
>> 6001/tcp filtered X11:1
>> 6002/tcp open     X11:2
>> 7777/tcp filtered cbt
>> 8291/tcp open     unknown
>> 
>> Nmap done: 1 IP address (1 host up) scanned in 13.41 seconds
>> 
>> ----------------------------------------
>> Und hier das nmap-Resultat 'meiner' Filterregeln, die ich auch nur
>aus 
>> dem Supportforum des Routerherstellers abgeschrieben habe.
>> 
>> root at grappa ~ # nmap wimo****
>> 
>> Starting Nmap 7.60 ( https://nmap.org ) at 2018-02-14 17:55 CET
>> Nmap scan report for wimo**** (x.x.x.x)
>> Host is up (0.031s latency).
>> Not shown: 999 filtered ports
>> PORT     STATE SERVICE
>> 6002/tcp open  X11:2
>> 
>> Nmap done: 1 IP address (1 host up) scanned in 28.61 seconds
>> ----------------------------------------
>> 
>> Der Unterschied zwische den beiden Scans war nur, das ich 'seine'
>Regeln 
>> disabled habe und 'meine' wieder enabled.
>> 
>> Sehe ich das richtig, das 'meine' Konfiguration besser greift? Oder 
>> interpretiere ich da was falsch?
>> 
>> Was der offene Port 6002 da macht finde ich auch noch raus.
>> 
>> Ich wäre dankbar wenn sich mal jemand meldet der sich meine
>Filterregeln 
>> anguckt, gerne vor Ort, gerne per Teamviewer, es darf auch Geld
>kosten.
>> 
>> 
>> Danke.
>> Ekki
>> 
>> 
>> 
>> 
>> 
>> 
>> 
>> 
>> 
>> _______________________________________________
>> lug-ld mailing list
>> lug-ld at lists.lug-ld.de
>> http://lists.lug-ld.de/mailman/listinfo/lug-ld
>> 
>_______________________________________________
>lug-ld mailing list
>lug-ld at lists.lug-ld.de
>http://lists.lug-ld.de/mailman/listinfo/lug-ld

-- 
Diese Nachricht wurde von meinem Android-Gerät mit K-9 Mail gesendet.
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: http://lists.lug-ld.de/pipermail/lug-ld/attachments/20180217/7a42ee6e/attachment.htm