Hallo Liste! Wie kann ich einzelne Ports wirklich schliessen? Wenn ich zb.: iptables -A INPUT -p TCP --sport 22 -j DROP iptables -A INPUT -p TCP --dport 22 -j DROP iptables -A OUTPUT -p TCP --sport 22 -j DROP iptables -A OUTPUT -p TCP --dport 22 -j DROP eingebe und dann mit nmap einen scan ausführe, zeigt der mir das Port 22 nur als gefiltert an und nicht als geschlossen. Was kann ich tun? mfg Thomas Mayr
On Fri, Mar 08, 2002 at 04:50:52PM +0100, Thomas wrote:
Wie kann ich einzelne Ports wirklich schliessen? Wenn ich zb.: iptables -A INPUT -p TCP --sport 22 -j DROP
eingebe und dann mit nmap einen scan ausführe, zeigt der mir das Port 22 nur als gefiltert an und nicht als geschlossen. Was kann ich tun?
a) es ignorieren b) den ssh-daemon nur bei Bedarf starten c) iptables -A INPUT -p tcp --dport 22 -j REJECT --reject-with tcp-reset Peter
Moin Thomas, * Thomas schrieb am 08 Mar 2002:
Wie kann ich einzelne Ports wirklich schliessen?
Das kommt darauf an, was du als "schließen" bezeichnest.
Wenn ich zb.: iptables -A INPUT -p TCP --sport 22 -j DROP iptables -A INPUT -p TCP --dport 22 -j DROP iptables -A OUTPUT -p TCP --sport 22 -j DROP iptables -A OUTPUT -p TCP --dport 22 -j DROP
eingebe und dann mit nmap einen scan ausführe, zeigt der mir das Port 22 nur als gefiltert an und nicht als geschlossen.
Ja, ist ja auch richtig so. "filtered" heißt, daß auf eine Anfrage an den Port keine Antwort kommt, so als wenn unter der IP gar kein Rechner erreichbar wäre. "closed" heißt, daß auf eine Anfrage an den Port ein "RST" zurückkommt. Der Kernel des betreffenden Rechnerst sagt also dem Fragenden "Unter der IP läuft zwar ein Rechner, aber auf dem Port lauscht kein Serverprozeß." Was willst du? für filtered hast du es ja schon, für closed mußt du dem sshd sagen, daß er nur auf bestimmten Netzwerkdevices lauschen soll. Gruß, Sebastian -- Do not meddle in the affairs of sysadmins, for they are subtle and quick to anger. Sebastian Helms - http://www.helms.sh - mailto:mail@helms.sh (PGP welcome) SuSE-Linux-Mailinglisten-FAQ: http://www.helms.sh/faq/
Am Montag 11 März 2002 00:56 schrieb Sebastian Helms:
Moin Thomas,
* Thomas schrieb am 08 Mar 2002:
Wie kann ich einzelne Ports wirklich schliessen?
Das kommt darauf an, was du als "schließen" bezeichnest.
Wenn ich zb.: iptables -A INPUT -p TCP --sport 22 -j DROP iptables -A INPUT -p TCP --dport 22 -j DROP iptables -A OUTPUT -p TCP --sport 22 -j DROP iptables -A OUTPUT -p TCP --dport 22 -j DROP
eingebe und dann mit nmap einen scan ausführe, zeigt der mir das Port 22 nur als gefiltert an und nicht als geschlossen.
Ja, ist ja auch richtig so.
"filtered" heißt, daß auf eine Anfrage an den Port keine Antwort kommt, so als wenn unter der IP gar kein Rechner erreichbar wäre.
"closed" heißt, daß auf eine Anfrage an den Port ein "RST" zurückkommt. Der Kernel des betreffenden Rechnerst sagt also dem Fragenden "Unter der IP läuft zwar ein Rechner, aber auf dem Port lauscht kein Serverprozeß."
Was willst du?
für filtered hast du es ja schon, für closed mußt du dem sshd sagen, daß er nur auf bestimmten Netzwerkdevices lauschen soll.
Gruß,
Sebastian
Hi, Mit Ports schliessen meine ich, dass ich sie deaktivieren moechte, um sie fuer einen Einbruch unbrauchbar zu machen - sogut als moeglich :-) Was kann ich denn da machen? mfg Tomas Mayr
On Mon, Mar 11, 2002 at 10:14:35AM +0100, Thomas wrote:
Am Montag 11 März 2002 00:56 schrieb Sebastian Helms:
Moin Thomas,
* Thomas schrieb am 08 Mar 2002:
Wie kann ich einzelne Ports wirklich schliessen?
[...]
Hi,
Mit Ports schliessen meine ich, dass ich sie deaktivieren moechte, um sie fuer einen Einbruch unbrauchbar zu machen - sogut als moeglich :-) Was kann ich denn da machen?
keine Dienste anbieten, Dienst auf localhost binden, Dienst auf interne NIC binden - in den genannten Fällen brauchst Du kein Packetfilter.
mfg Tomas Mayr
MfG Benn -- #250319 - http://counter.li.org
Am Montag 11 März 2002 11:05 schrieb Bernd Schmelter:
On Mon, Mar 11, 2002 at 10:14:35AM +0100, Thomas wrote:
Am Montag 11 März 2002 00:56 schrieb Sebastian Helms:
Moin Thomas,
* Thomas schrieb am 08 Mar 2002:
Wie kann ich einzelne Ports wirklich schliessen?
[...]
Hi,
Mit Ports schliessen meine ich, dass ich sie deaktivieren moechte, um sie fuer einen Einbruch unbrauchbar zu machen - sogut als moeglich :-) Was kann ich denn da machen?
keine Dienste anbieten, Dienst auf localhost binden, Dienst auf interne NIC binden - in den genannten Fällen brauchst Du kein Packetfilter.
mfg Tomas Mayr
MfG Benn
Hi, Vielen Dank - doch da hab ich gleich eine dumme Frage : Wie geht denn des ganze für ssh,telnet,finger,http,auth und login ? mfg Thomas Mayr
On Mon, Mar 11, 2002 at 11:48:31AM +0100, Ulli Kuhnle wrote:
* Thomas
[020311 11:13]: Vielen Dank - doch da hab ich gleich eine dumme Frage : Wie geht denn des ganze für ssh,telnet,finger,http,auth und login ?
Schau mal in deine /etc/inetd.conf. Da kannst du die Dienste, die du nicht brauchst auskommentieren.
Seine Frage kam hier auch per PM an, deshalb auch so geantwortet. Also dann hier nochmal das Beispiel sshd an Interface binden für die Liste. /etc/ssh/sshd_config: ListenAddress 198.168.x.x Bei Protocol sollte nur eine 2 stehen - der inetd ist mir suspect, weshalb ich lieber die Dämonen einzeln laufen lasse.
-- Gruß - Ulli
MfG Benn -- #250319 - http://counter.li.org
Ulli Kuhnle schrieb am Mon, Mar 11, 2002 at 11:48:31AM +0100:
* Thomas
[020311 11:13]: Vielen Dank - doch da hab ich gleich eine dumme Frage : Wie geht denn des ganze für ssh,telnet,finger,http,auth und login ?
Schau mal in deine /etc/inetd.conf. Da kannst du die Dienste, die du nicht brauchst auskommentieren.
Am besten installierst Du Dir auch noch den xinetd. Der ersetzt den "alten" inetd und bietet u.a. den Vorteil, dass man die von ihm verwalteten Dienste auf bestimmte Netzwerkinterfaces beschraenken kann. ...und wo kein Dienst lauscht, kann auch keiner "exploitet" werden. Gruß, Christian -- Christian Schmidt | Germany | christian@siebenbergen.de No HTML Mails, please!!
Moin Thomas, * Thomas schrieb am 11 Mar 2002:
Am Montag 11 März 2002 00:56 schrieb Sebastian Helms:
* Thomas schrieb am 08 Mar 2002:
Wie kann ich einzelne Ports wirklich schliessen?
Das kommt darauf an, was du als "schließen" bezeichnest.
Mit Ports schliessen meine ich, dass ich sie deaktivieren moechte, um sie fuer einen Einbruch unbrauchbar zu machen - sogut als moeglich :-) Was kann ich denn da machen?
Zum Beispiel - wie schon geschehen - durch eine Firewall nach außen "filtern". Alternativ kannst du den Serverprozessen mitteilen, daß sie nur an einer bestimmten IP oder einem Netzwerkinterface lauschen sollen. Wie das geht ist von Programm zu Programm verschieden, siehe auch man programm *g* Wenn die Server vom inetd gestartet werden und über die TCP-Wrapper aufgerufen werden (in der entsprechenden Zeile in inetd.conf steht ein /usr/sbin/tcpd vor dem Servernamen), dann kannst du auch /etc/hosts.allow und /etc/hosts.deny entsprechend konfigurieren; allerdings ist der Port dann nicht zu. Dann verbietet der tcpd nur eingehende Verbindungen. Das sicherste ist - bei richtiger Konfiguration - den Servern zu sagen, daß sie nur auf einer bestimmten IP lauschen sollen. Gruß, Sebastian -- Do not meddle in the affairs of sysadmins, for they are subtle and quick to anger. Sebastian Helms - http://www.helms.sh - mailto:mail@helms.sh (PGP welcome) SuSE-Linux-Mailinglisten-FAQ: http://www.helms.sh/faq/
participants (6)
-
Bernd Schmelter
-
Christian Schmidt
-
Peter Wiersig
-
Sebastian Helms
-
Thomas
-
Ulli Kuhnle