Hi ! Eine interessante Sache. Das mit den High-Ports habe ich so im Hinterkopf mitbekommen, aber mir eigentlich gar nicht soo grosse Gedanken darüber gemacht. Ich weiss leider nicht, wie gefährlich das ist, die High-Ports zu öffnen. Vielleicht kann da noch jemand was zu sagen. Vor allen Dingen welche High-Ports muss ich öffnen? Und welche High-Ports für welche Prozesse? Wäre nett, wenn das noch einer posten könnte. Michael
Hi !
Ich habe meine FireWall soweit jetzt selber zusammengesetzt. So kann ich wenigsten sichergehen, dass ich das Prinzip und System auch verstehe. Nur habe ich jetzt noch ein Problem. Sobald eine Internetverbindung über das ippp0-Device besteht, fängt der DROPLOG an Pakete zu loggen, die anscheinend nicht zugelassen sind. Dabei geht es um Pakete, die den Port 53, also DNS betreffen.
## Festlegen der Regeln fuer die interne Netzwerkkommunikation ##
# Erlauben von DNS-Paketen auf Port 53, TCP + UDP (INTERN) $IPTABLES -A INPUT -i $INT_DEV -s $INT_NET -p tcp --dport 53 -j ACCEPT [...] $IPTABLES -A OUTPUT -o $INT_DEV -s $INT_NET -p udp --dport 53 -j ACCEPT [...] # Neue Regeln, funktionieren ebenfalls nicht... $IPTABLES -A INPUT -i $EXT_DEV -p tcp --sport 53 -j ACCEPT [...] $IPTABLES -A OUTPUT -o $EXT_DEV -p udp --dport 53 -j ACCEPT
Und hier die Fehlermeldungen aus dem DropLog (inklusive ein paar Zeilen der Einwahl, wegen den IPs, damit Ihr sehen könnt, welche der Einwahlrechner
Und wo sind die Regeln fuer die high ports ? -
und -Server hatten).
Jul 26 21:52:51 intranet squid[475]: comm_udp_sendto: FD 10, 212.6.64.161, port 8080: (1) Operation not permitted Jul 26 21:52:51 intranet squid[475]: comm_udp_sendto: FD 10, 212.6.64.161, port 8080: (1) Operation not permitted
Da stimmt aber noch einiges nicht :-(
Vielleicht bin ich einfach nur blind und sehe den Wald vor lauter Bäumen nicht?
Denke daran, dass Prozesse *immer* Dienste ueber einen unprevilegierten Port starten. Dein lokaler Bind beispielsweise oeffnet den lokalen port 1024 um den entfernten Nameserver auf Port 53 anzusprechen, die Rueckantwort kommt dann von Port 53 an Port 1024. Dein lokaler Nameserver lauscht aber an port 53 um Anfragen aus deinem lokalen Netz zu beantworten. -Dieter -- Dieter Kluenter Brute Force Imaging -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
participants (1)
-
Michael Jakscht