Hallo ML, ich baue z. Zt eine Firewall mit iptables. Es geht darum, einen Rechner per ssh für externe Projektpartner zugänglich zu machen. Diesen Rechner möchte ich per iptables soweit zumachen, daß sich die externen nicht bei uns im Netz umgucken können. Lediglich einige wenige Hosts mit dedizierten Ports sollen zugänglich sein, alles andere im Netz wird geblockt. Da ich beim Blocken aber vorsichtig bin (will mich ja selbst nicht irgendwo ausschließen), habe ich der passenden Regel bisher als target nicht DROP, sondern LOG gegeben. Um zu sehen, ob da eventl. noch was zu öffnen ist. Dabei taucht immer wieder folgendes auf: Feb 17 13:19:28 vm53200-9 kernel: HMGU_INT_OUTPUT IN= OUT=eth1 SRC=146.107.95.198 DST=146.107.135.80 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=45328 PROTO=ICMP TYPE=0 CODE=0 ID=1024 SEQ=51147 Ich bin von dem Rechner 146.107.135.80 mit putty per ssh auf dem Rechner 146.107.95.198. Diese Zeile taucht ca. jede Minute 5x auf. Ist das wichtig ? Wird da per ICMP regelmäßig geprüft, ob der andere Host noch da ist ? Vielen Dank für alle Antworten. Bernd -- Bernd Lentes Systemadministration Institut für Entwicklungsgenetik HelmholtzZentrum münchen bernd.lentes@helmholtz-muenchen.de 089 3187 1241 http://www.helmholtz-muenchen.de/idg Success is the sum of small efforts, repeated day in and day out. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Bernd, Am 17.02.2010 13:37, schrieb Lentes, Bernd:
ich baue z. Zt eine Firewall mit iptables. Es geht darum, einen Rechner per ssh für externe Projektpartner zugänglich zu machen. Diesen Rechner möchte ich per iptables soweit zumachen, daß sich die externen nicht bei uns im Netz umgucken können. Lediglich einige wenige Hosts mit dedizierten Ports sollen zugänglich sein, alles andere im Netz wird geblockt. Da ich beim Blocken aber vorsichtig bin (will mich ja selbst nicht irgendwo ausschließen), habe ich der passenden Regel bisher als target nicht DROP, sondern LOG gegeben. Um zu sehen, ob da eventl. noch was zu öffnen ist. Dabei taucht immer wieder folgendes auf:
Feb 17 13:19:28 vm53200-9 kernel: HMGU_INT_OUTPUT IN= OUT=eth1 SRC=146.107.95.198 DST=146.107.135.80 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=45328 PROTO=ICMP TYPE=0 CODE=0 ID=1024 SEQ=51147
Ich bin von dem Rechner 146.107.135.80 mit putty per ssh auf dem Rechner 146.107.95.198. Diese Zeile taucht ca. jede Minute 5x auf. Ist das wichtig ? Wird da per ICMP regelmäßig geprüft, ob der andere Host noch da ist ?
ist der Rechner mit der IP 146.107.135.80 zufällig ein Windows-Rechner? Denn Windosen senden per Default tatsächlich regelmäßig ICMP-Packets durch die Gegend. Gruß Stefan - -- ? S T E F A N ? J U R I S C H ? ====================================== System Engineer ? Department VMware® Software Development ====================================== SIEGNETZ.Informationstechnologie® GmbH Schneppenkauten 1a ? DE 57076 Siegen phone +49 271 68193 -0 ? facsimile -28 web www.siegnetz.de ? info@siegnetz.de Geschäftsfuehrer: Oliver Seitz Amtsgericht Siegen HRB4838 Sitz der Gesellschaft ist Siegen -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.12 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/ iEYEARECAAYFAkt76a4ACgkQqdb99cbyCz5a7ACbBMFQXGpmWaVFTusuVT4voUwU JtcAn1IiXF2b9m9GVhjyL/RJKfVmJA60 =it4R -----END PGP SIGNATURE----- -- This message has been scanned for viruses and dangerous content by MailScanner, and is believed to be clean. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Stefan Jurisch schrieb:
Hallo Bernd,
Am 17.02.2010 13:37, schrieb Lentes, Bernd:
ich baue z. Zt eine Firewall mit iptables. Es geht darum, einen Rechner per ssh für externe Projektpartner zugänglich zu machen. Diesen Rechner möchte ich per iptables soweit zumachen, daß sich die externen nicht bei uns im Netz umgucken können. Lediglich einige wenige Hosts mit dedizierten Ports sollen zugänglich sein, alles andere im Netz wird geblockt. Da ich beim Blocken aber vorsichtig bin (will mich ja selbst nicht irgendwo ausschließen), habe ich der passenden Regel bisher als target nicht DROP, sondern LOG gegeben. Um zu sehen, ob da eventl. noch was zu öffnen ist. Dabei taucht immer wieder folgendes auf:
Feb 17 13:19:28 vm53200-9 kernel: HMGU_INT_OUTPUT IN= OUT=eth1 SRC=146.107.95.198 DST=146.107.135.80 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=45328 PROTO=ICMP TYPE=0 CODE=0 ID=1024 SEQ=51147
Ich bin von dem Rechner 146.107.135.80 mit putty per ssh auf dem Rechner 146.107.95.198. Diese Zeile taucht ca. jede Minute 5x auf. Ist das wichtig ? Wird da per ICMP regelmäßig geprüft, ob der andere Host noch da ist ?
ist der Rechner mit der IP 146.107.135.80 zufällig ein Windows-Rechner? Denn Windosen senden per Default tatsächlich regelmäßig ICMP-Packets durch die Gegend.
Hallo Stefan, ja, die 146.107.135.80 ist ein Windows. Aber diese IP ist bei dem geloggten Paket doch die destination und nicht die source. Oder ist das geloggte Paket nur die Antwort vom Linuxhost ? Was passiert, wenn Pakete wie das gezeigte gedropt werden ? Bernd-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Bernd, Am 17.02.2010 14:13, schrieb Lentes, Bernd:
Feb 17 13:19:28 vm53200-9 kernel: HMGU_INT_OUTPUT IN= OUT=eth1 SRC=146.107.95.198 DST=146.107.135.80 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=45328 PROTO=ICMP TYPE=0 CODE=0 ID=1024 SEQ=51147
Ich bin von dem Rechner 146.107.135.80 mit putty per ssh auf dem Rechner 146.107.95.198. Diese Zeile taucht ca. jede Minute 5x auf. Ist das wichtig ? Wird da per ICMP regelmäßig geprüft, ob der andere Host noch da ist ?
ist der Rechner mit der IP 146.107.135.80 zufällig ein Windows-Rechner? Denn Windosen senden per Default tatsächlich regelmäßig ICMP-Packets durch die Gegend.
ja, die 146.107.135.80 ist ein Windows. Aber diese IP ist bei dem geloggten Paket doch die destination und nicht die source. Oder ist das geloggte Paket nur die Antwort vom Linuxhost ? Was passiert, wenn Pakete wie das gezeigte gedropt werden ?
Da es hier keinen Entry bei IN= gibt, gehe ich davon aus, dass es sich hier in der Tat um die Antwort der Firewall handelt. Ich gebe übrigens der Antwort von Ralf Prengel recht: Firewallbuilder ist ein gutes Tool, um iptables-Firewalls visuell zusammen zu schrauben. Es müsste auch openSUSE-RPMs geben, entweder auf der Homepage oder direkt in einem Repo. Gruß Stefan - -- ? S T E F A N ? J U R I S C H ? ====================================== System Engineer ? Department VMware® Software Development ====================================== SIEGNETZ.Informationstechnologie® GmbH Schneppenkauten 1a ? DE 57076 Siegen phone +49 271 68193 -0 ? facsimile -28 web www.siegnetz.de ? info@siegnetz.de Geschäftsfuehrer: Oliver Seitz Amtsgericht Siegen HRB4838 Sitz der Gesellschaft ist Siegen -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.12 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/ iEYEARECAAYFAkt8BQ0ACgkQqdb99cbyCz5EXACcD6VSQTmdWmtg18z/U75t1Mym riMAmQHdPzc4cOYBCjtQFpRiAmWQbnl5 =99jd -----END PGP SIGNATURE----- -- This message has been scanned for viruses and dangerous content by MailScanner, and is believed to be clean. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----Ursprüngliche Nachricht----- Von: Lentes, Bernd [mailto:bernd.lentes@helmholtz-muenchen.de] Gesendet: Mittwoch, 17. Februar 2010 13:38 An: opensuse-de@opensuse.org Betreff: Firewallfrage
Hallo ML,
ich baue z. Zt eine Firewall mit iptables. Es geht darum, einen Rechner per ssh für externe Projektpartner zugänglich zu machen. Diesen Rechner möchte ich per iptables soweit zumachen, daß sich die externen nicht bei uns im Netz umgucken können. Lediglich einige wenige Hosts mit dedizierten Ports sollen zugänglich sein, alles andere im Netz wird geblockt. Da ich beim Blocken aber vorsichtig bin (will mich ja selbst nicht irgendwo ausschließen), habe ich der passenden Regel bisher als target nicht DROP, sondern LOG gegeben. Um zu sehen, ob da eventl. noch was zu öffnen ist. Dabei taucht immer wieder folgendes auf:
Unabhängig von deiner Frage: 1) Fwbuilder kann einem das Leben deutlich leichter machen 2) Eventuell wäre auch die freie Astaro-Variante was für dich (nein, ich arbeite nicht für Astaro) wenn du deine "Gäste" auf ein VPN umbiegen kannst. Allerdings sind in der freien Version nicht alle VPN-Typen nutzbar. Gruß Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 EMail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Mit, 17 Feb 2010, Lentes, Bernd schrieb:
Dabei taucht immer wieder folgendes auf:
Feb 17 13:19:28 vm53200-9 kernel: HMGU_INT_OUTPUT IN= OUT=eth1 SRC=146.107.95.198 DST=146.107.135.80 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=45328 PROTO=ICMP TYPE=0 CODE=0 ID=1024 SEQ=51147
ICMP, Type=0 = Echo Reply, Code=0 = Echo Reply http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol http://en.wikipedia.org/wiki/Internet_Control_Message_Protocol#List_of_permi... 146.107.95.198 antwortet also 146.107.135.80 auf ein Ping (Echo Request). HTH, -dnh -- "...you want a .sig with that?" -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (4)
-
David Haller
-
Lentes, Bernd
-
ralf.prengel@comline.de
-
Stefan Jurisch