/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Hvordan med UDP porte?
Fra : Kasper Nordal Lund


Dato : 04-10-03 23:26

Hej ng.

Når jeg laver en nmap mod min mandrake box med -sU for UDP porte får jeg
en liste så lang med alle de porte der er åbne, og det er jo egentligt
ikke meningen. Hvad skal der stå i mit iptables script for at den lukker
for mine udp porte?
Mit nuværende script ser således ud:

#!/bin/sh

# Disable forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

LAN_IP_NET='10.0.0.1/8'
LAN_NIC='eth0'
WAN_IP='62.242.140.27'
WAN_NIC='eth1'
FORWARD_IP='0.0.0.0'


# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#Load modules
insmod ip_conntrack_ftp
insmod ip_nat_ftp

# Open ports on router for server/services
#Porte der bruges til SSH
iptables -A INPUT -j ACCEPT -p tcp --dport 22
#Porte der bruges til SMTP
iptables -A INPUT -j ACCEPT -p tcp --dport 25
#Porte bruges til ftp
iptables -A INPUT -j ACCEPT -p tcp --dport 21

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Laver en generel politik (policy)
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT


# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward


Jeg er som i måske kan se ike helt hjemme i iptables, men det virker da -
bortset ligefra UDP portene som gerne skulle blokkes hvis ikke jeg åbner
for dem.

Håber i kan hjælpe mig.


/Kasper


 
 
Jacob Bunk Nielsen (05-10-2003)
Kommentar
Fra : Jacob Bunk Nielsen


Dato : 05-10-03 00:17

Kasper Nordal Lund <ihate@spam.org> writes:

> LAN_IP_NET='10.0.0.1/8'

Du mener 10.0.0.0/8?

> # Flush
> iptables -t nat -F POSTROUTING
> iptables -t nat -F PREROUTING
> iptables -t nat -F OUTPUT
> iptables -F

Put dine policies herop i starten af scriptet, om ikke andet så for
overskuelighedens skyld.

> iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Hvorfor laver du særlige accept-regler på FORWARD-kæden når du i
forvejen kører med en generel policy der tillader alt på den kæde?

> #Porte der bruges til SSH
> iptables -A INPUT -j ACCEPT -p tcp --dport 22

Gør det lidt pænere med:

iptables -A INPUT -m state --protocol tcp --state NEW --destination-port ssh -j ACCEPT
Du kan jo lige så godt udnytte at iptables har stateful inspection i
stedet for blot at tillade alt på port 22. når du senere kombinerer
det med at acceptere ESTABLISHED og RELATED.

Hvor scanner du fra? Der bør ikke være meget at se, hvis din
default-policy på INPUT er DROP. Må vi ikke se outputtet af
'iptables -L -v'?

--
Jacob - www.bunk.cc
Are you making all this up as you go along?

Kasper Nordal Lund (05-10-2003)
Kommentar
Fra : Kasper Nordal Lund


Dato : 05-10-03 08:51

On Sun, 05 Oct 2003 01:16:49 +0200, Jacob Bunk Nielsen wrote:

> Kasper Nordal Lund <ihate@spam.org> writes:


> 'iptables -L -v'?

Her er det, tak for de gode hints :)

[root@linux root]# iptables -L -v
Chain INPUT (policy DROP 1270K packets, 101M bytes)
pkts bytes target prot opt in out source destination
7172 548K ACCEPT tcp -- any any anywhere anywhere tcp dpt:ssh
1 28 ACCEPT udp -- any any anywhere anywhere udp dpt:ssh
76 3485 ACCEPT tcp -- any any anywhere anywhere tcp dpt:smtp
1 28 ACCEPT udp -- any any anywhere anywhere udp dpt:smtp
512 30273 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ftp
2 356 ACCEPT udp -- any any anywhere anywhere udp dpt:ftp
1 28 ACCEPT udp -- any any anywhere anywhere udp dpt:http
409 50459 ACCEPT tcp -- any any anywhere anywhere tcp dpt:http
0 0 ACCEPT udp -- any any anywhere anywhere udp spt:isakmp dpt:isakmp
0 0 ACCEPT ipv6-crypt-- any any anywhere anywhere
0 0 ACCEPT tcp -- eht0 any anywhere anywhere tcp dpt:10000
0 0 ACCEPT udp -- eht0 any anywhere anywhere udp dpt:10000
0 0 ACCEPT tcp -- eth0 any anywhere anywhere tcp dpt:domain
3216 301K ACCEPT udp -- eth0 any anywhere anywhere udp dpt:domain
0 0 ACCEPT tcp -- eth0 any anywhere anywhere tcp dpt:pop3
0 0 ACCEPT udp -- eth0 any anywhere anywhere udp dpt:pop3
5514K 5233M ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
15M 5554M ACCEPT all -- eth0 any 10.0.0.0/8 anywhere
13M 5826M ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 eth1 kasperxp anywhere tcp dpt:4661
0 0 ACCEPT tcp -- eth0 eth1 kasperxp anywhere tcp dpt:4662
0 0 ACCEPT udp -- eth0 eth1 kasperxp anywhere udp dpt:4665
0 0 ACCEPT tcp -- eth0 eth1 kasperxp anywhere tcp dpt:4672
0 0 ACCEPT udp -- eth0 eth1 kasperxp anywhere udp dpt:4672
22 1024 ACCEPT tcp -- eth1 eth0 anywhere kasperxp tcp dpt:4661
981K 49M ACCEPT tcp -- eth1 eth0 anywhere kasperxp tcp dpt:4662
1 46 ACCEPT udp -- eth1 eth0 anywhere kasperxp udp dpt:4665

Chain OUTPUT (policy ACCEPT 7256K packets, 5303M bytes)
pkts bytes target prot opt in out source destination

--
/Kasper


Kasper Nordal Lund (05-10-2003)
Kommentar
Fra : Kasper Nordal Lund


Dato : 05-10-03 09:42

On Sun, 05 Oct 2003 01:16:49 +0200, Jacob Bunk Nielsen wrote:

> Hvor scanner du fra? Der bør ikke være meget at se, hvis din
> default-policy på INPUT er DROP.

Jeg scanner fra en ekstern pc.

#nmap -sU 62.242.140.27

Hvis bruger ovenstående kommando får jeg

Alle porte fra 0 til 54321 er open

--
/Kasper


Klaus Ellegaard (05-10-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 05-10-03 09:47

Kasper Nordal Lund <ihate@spam.org> writes:

>Når jeg laver en nmap mod min mandrake box med -sU for UDP porte får jeg
>en liste så lang med alle de porte der er åbne, og det er jo egentligt
>ikke meningen.

-sU UDP scans: This method is used to determine which
UDP (User Datagram Protocol, RFC 768) ports are
open on a host. The technique is to send 0 byte
UDP packets to each port on the target machine. If
we receive an ICMP port unreachable message, then
the port is closed. Otherwise we assume it is
open. Unfortunately, firewalls often block the
port unreachable messages, causing the port to
appear open. [...]

Mvh.
   Klaus.

Kasper Nordal Lund (05-10-2003)
Kommentar
Fra : Kasper Nordal Lund


Dato : 05-10-03 09:50

On Sun, 05 Oct 2003 08:46:39 +0000, Klaus Ellegaard wrote:

> Kasper Nordal Lund <ihate@spam.org> writes:
>
>>Når jeg laver en nmap mod min mandrake box med -sU for UDP porte får jeg
>>en liste så lang med alle de porte der er åbne, og det er jo egentligt
>>ikke meningen.
>
> -sU UDP scans: This method is used to determine which
> UDP (User Datagram Protocol, RFC 768) ports are
> open on a host. The technique is to send 0 byte
> UDP packets to each port on the target machine. If
> we receive an ICMP port unreachable message, then
> the port is closed. Otherwise we assume it is
> open. Unfortunately, firewalls often block the
> port unreachable messages, causing the port to
> appear open. [...]
>
> Mvh.
>    Klaus.

Takker og bukker

--
/Kasper


Søg
Reklame
Statistik
Spørgsmål : 177591
Tips : 31968
Nyheder : 719565
Indlæg : 6409153
Brugere : 218889

Månedens bedste
Årets bedste
Sidste års bedste