Hallo Liste. Ich hätte da mal ne Frage zu iptables, denn zu folgender Situation kapier ich die Logik nicht: Ich möchte eine Policy setzen, etwa so: iptables -P INPUT DROP Dann werden alle Pakete alle gedropt, falls keine andere Regel greift. Dieses nun führt dazu, daß Portscanner meinen Rechner als nicht existent ausgeben, wenn ich mich von außen scannen lasse. Oder, neudeutsch: meine Ports werden als "stealth" ausgegeben. Ich möchte aber, daß sie als closed ausgewiesen werden. Nun kann ich aber keine Policy REJECT setzen, was mir auch noch einleutet. Nur - wie erreiche ich mein Ziel trotzdem? Oder ist schon die Frage falsch gestellt...? Danke. Andy -- Andreas Feile www.feile.net
Hi, * Am 06.09.2003 (20:10) schrieb Andreas Feile:
[Wunsch der Policy REJECT] aber keine Policy REJECT setzen, was mir auch noch einleutet. Nur - wie erreiche ich mein Ziel trotzdem?
Warum nicht ans Ende der Kette ein iptable -A INPUT -j REJECT? Das sollte es doch tun. -sa -- sa at programmers-world dot com http://www.livingit.de Boomarks online: http://www.mobile-bookmarks.info Soon available in english Mail geschrieben: Samstag, den 06. September 2003 um 20:28
Sascha Andres, Samstag, 6. September 2003 20:29:
* Am 06.09.2003 (20:10) schrieb Andreas Feile:
[Wunsch der Policy REJECT] aber keine Policy REJECT setzen, was mir auch noch einleutet. Nur - wie erreiche ich mein Ziel trotzdem?
Warum nicht ans Ende der Kette ein iptable -A INPUT -j REJECT?
Geht nicht. Hier meine Regeln: WANDEV=ppp0 IPTABLES=/usr/sbin/iptables $IPTABLES -P INPUT ACCEPT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD ACCEPT # Wech mit den Regeln bisher $IPTABLES -F # Von aussen nur Antworten und # verwandte Pakete reinlassen $IPTABLES -A INPUT -i $WANDEV -m state \ --state ESTABLISHED,RELATED -j ACCEPT # Alles andere zurückweisen: $IPTABLES -A INPUT -i $WANDEV -j REJECT Diese Regeln in Kraft gesetzt => scan.sygate.com erkennt die Ports als Blocked, nicht als closed. Diese Regeln außer Kraft gesetzt => scan.sygate.com erkennt einige Ports als closed, andere als open. Was kapier ich nicht? -- Andreas Feile www.feile.net
Andreas Feile wrote:
Sascha Andres, Samstag, 6. September 2003 20:29:
* Am 06.09.2003 (20:10) schrieb Andreas Feile:
[Wunsch der Policy REJECT] aber keine Policy REJECT setzen, was mir auch noch einleutet. Nur - wie erreiche ich mein Ziel trotzdem?
Warum nicht ans Ende der Kette ein iptable -A INPUT -j REJECT?
Geht nicht. Hier meine Regeln:
WANDEV=ppp0 IPTABLES=/usr/sbin/iptables
$IPTABLES -P INPUT ACCEPT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD ACCEPT
# Wech mit den Regeln bisher $IPTABLES -F
# Von aussen nur Antworten und # verwandte Pakete reinlassen $IPTABLES -A INPUT -i $WANDEV -m state \ --state ESTABLISHED,RELATED -j ACCEPT
# Alles andere zurückweisen: $IPTABLES -A INPUT -i $WANDEV -j REJECT
# Alles andere zurückweisen: iptables -A INPUT -i $WANDEV -p tcp -j REJECT --reject-with tcp-reset iptables -A INPUT -i $WANDEV -p udp -j REJECT [scan.sygate.com erkennt die Ports als Blocked]
Was kapier ich nicht?
man iptables, siehe REJECT: (port-unreachable is the default) hth Benn -- #250319 - http://counter.li.org
Bernd Schmelter, Samstag, 6. September 2003 21:37:
# Alles andere zurückweisen: iptables -A INPUT -i $WANDEV -p tcp -j REJECT --reject-with tcp-reset iptables -A INPUT -i $WANDEV -p udp -j REJECT
[scan.sygate.com erkennt die Ports als Blocked]
Was kapier ich nicht?
man iptables, siehe REJECT: (port-unreachable is the default)
Ah... jetzt wirds klarer. Vielen Dank. -- Andreas Feile www.feile.net
Andreas Feile wrote:
Ich möchte aber, daß sie als closed ausgewiesen werden. Nun kann ich aber keine Policy REJECT setzen, was mir auch noch einleutet. Nur - wie erreiche ich mein Ziel trotzdem?
-A INPUT -p tcp -j RECEJT -A INPUT -p udp -j REJECT REJECT macht naehmlich bei icmp oder anderen Protokollen keinen grossen Sinn. -- Have fun, Peter
participants (4)
-
Andreas Feile -
Bernd Schmelter -
Peter Wiersig -
Sascha Andres