Hi Steffen! Danke fuer Deine Mail! Hi auch Liste. Ich hatte gestern anscheinend zeitweise Ausfaelle in meinem Denksprachschreibmodul. ;-) Steffen Dettmer wrote:
* Heiko Degenhardt wrote on Wed, Apr 26, 2000 at 13:25 +0200:
Wenn Du keinen Webserver hast, haben Pakete, die das ACK-Bit tragen, nichts an Deinem Server Port 80/tcp zu suchen.
Immer, wenn ich in diesem Thread sowas geschrieben habe, meinte ich eigentlich SYN-Packete, also Pakete, die das SYN-Bit gesetzt, sowie FIN und ACK _nicht_ gesetzt haben! (War wohl gestern eindeutig zu warm hier auf Arbeit).
...
Ich habe z.B. sowas wie $IPCHAINS -A input -p tcp -y -s 0/0 -d $WWWIP ! 80 -l -j DENY auf meinem Web-Server.
IIRC bedeutet das: alle tcp-Packete (-s 0/0 ist default wenn nicht angeben), die SYN, nicht ACK, nicht FIN zu einem Port != 80 aufbauen wollen, blocken. Damit sollten FIN, Xmas Tree und Null scans gegen Deinen Server funktionieren, Es sollte eigentlich nichts zurueckkommen, da standartmaessig sowieso alles geblockt wird.
da SYN nie gesetzt sein sollte, und Deine Regel nie zutrifft, also nie geblockt wird. Sie wird aber angewendet. Dazu ein aktuelles Beispiel:
Aus "ipchains -nvL input" die Regel 8: (ich schneide das mal ein wenig zurecht) ... pkt byte targ prot opt ... if ... source destination ports 79 3800 DENY tcp -y--l- ... * 0/0 195.37.62.127 * -> !80 ... Hier nun eine Argus-Ausgabe: ... Wed 04/26 07:59:49 tcp 209.197.208.205.4251 |> 195.37.62.127.80 RST Wed 04/26 07:59:52 s tcp 209.197.208.205.4253 o> 195.37.62.127.3128 TIM Wed 04/26 07:59:52 s tcp 209.197.208.205.4252 o> 195.37.62.127.8080 TIM ... Die Verbindung auf port 80/tcp wurde vom Server resetted (war ein Proxy-Versuch), die anderen wurden DENYed. Dazu auch ein Stueck /var/log/kern: ... Apr 26 07:59:49 www kernel: Packet log: input DENY eth0 PROTO=6 209.197.208.205:4252 195.37.62.127:8080 L=48 S=0x00 I=58544 F=0x4000 T=110 SYN (#8) Apr 26 07:59:52 www kernel: Packet log: input DENY eth0 PROTO=6 209.197.208.205:4253 195.37.62.127:3128 L=48 S=0x00 I=13745 F=0x4000 T=110 SYN (#8) ... Die "normale" Verbindung auf Port 80 wurde nicht geloggt, der Rest doch und abgewiesen (von Regel 8). Ich bin sicher auch kein Guru auf dem Gebiet Sicherheit. Ich habe mir das alles soweit zusammengestoepselt, bis es so funktioniert, wie ich denke, dass es funktionieren sollte. Deshalb bin ich fuer Hinweise und Kritik auch extrem dankbar! Falls also jemand andere Vorschlaege hat... Danke Dir, Steffen, jedenfalls nochmal fuer die Hinweise! Rgds. Heiko. -- Nuetzliche Samba-Doku online: http://de.samba.org/samba/docs/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com