Wie kann ich verhindern, dass Server wie z.B. XWindow (6000) Löcher in die FW schiessen und so den Eingang ermöglichen?

Hä? was tun die? :confused:

Ciao, Bernie

moin moin

ich hab mir dafür vom polizei-revier meines vertrauens extra ne alte ausrangierte kugelsichere weste besorgt. damit wickelst du deinen firewall-rechner ein und schluß ist mit löchern in der firewall.

sorry konnte ich mir nicht verkneifen. ;)

um den port 6000 zu schließen, füge ein -nolisten tcp in die /etc/X11/xdm/Xservers ein

:0 local /usr/X11R6/bin/X -nolisten tcp


Gruß HL

Und wie mache ich das mit anderen Ports?!?!

bei den meisten diensten kannst du einstellen, an welchem interface sie *lauschen* sollen. den rest regelst du über entsprechende filteregeln.

Original geschrieben von HangLoose
den rest regelst du über entsprechende filteregeln.
DAS geht ja eben nicht!

Original geschrieben von mrsuicide
>Original geschrieben von HangLoose
>den rest regelst du über entsprechende filteregeln.
DAS geht ja eben nicht!
Dann machst DU etwas falsch (wobei ich offnene Ports mittels eines Paketfilters zu schließen, auch für den falsch halte)

Dann schick MIR doch mal ein File, dass Port 6000 schließt!
Ich sage dir dann, ob es funzt!

PS: Der Trick mit nolisten funzt nicht.
Ich seh immer noch auf auditmypc.com Port 6000!!

Ich seh immer noch auf auditmypc.com Port 6000!!

X-Server neu gestartet?

Und - das ist KEIN "Trick"

...reboot.

bei 2.4er kernel
iptables -A INPUT -p all --dport 6000 -j DROP

und der Port ist dicht.

Keine Änderung.
Obwohl iptables, iptables6 und ipchains akiv ist!

Du machst es nicht leicht, Dir zu helfen.

Vieleicht möchtest Du hierauf einen Blick werfen:
http://www.lugbz.org/documents/smart-questions_de.html

Gruß,
Taylor

Hi,

iptables und ipchains? Geht das? :confused: Ich dachte immer iptables ist für die 2.4.er und ipchains für die 2.2.er Kernel. Oder irre ich da?

man kann in 2.4 Kernel nebeb IPtables Ipchains als Modul mitnehmen ja.
Und das ganz alte Ding auch.

Oder meintest Du ob BEIDE GLEICHZEITIG laufen?

Original geschrieben von mrsuicide
Dann schick MIR doch mal ein File, dass Port 6000 schließt!
Ich sage dir dann, ob es funzt!



also um ehrlich zu sein, haett ich dir nun ne heißklebepistole und ne schere geschickt....
erst kabel abschneiden, dann mit heißkleber fixieren... der garantierte schutz.

air

Na, ja ich überprüf mal meine Kernelkonfiguration, obwohl ich eigentlich sicher war, dass es ok ist.

moin moin

das problem ist, das du so gut wie keine info's postest. welche dienste *öffnen* ports? wie sehen die config's von den entsprechenden diensten aus? was hast du bisher genau gemacht? wie sehen deine iptables regeln aus? und und und


Gruß HL

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Lokkit-0-50-INPUT - [0:0]
-A INPUT -j RH-Lokkit-0-50-INPUT
-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i eth0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m tcp --syn --sport 53 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --sport 53 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m tcp --syn --sport 113 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --sport 113 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m tcp --syn --sport 123 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --sport 123 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --syn -j DROP
-A RH-Lokkit-0-50-INPUT -p udp -m udp -j DROP
COMMIT


Services:
XWindow System 6000
...und alle anderen


telnet [meine PPP-IP] 6000
Trying [meine PPP-IP]...
Connected to [meine PPP-IP].
Escape character is '^]'.


Kernelconfig stimmt auch... :(

Genug Gelaber! ;) :D

ipchains und iptables können nicht gleichzeitig aktiviert sein. iptables6 ist für IPv6 und hier irrelevant.

Zeig mal auf dem laufenden Rechner die Ausgabe von iptables-save und netstat -tpan und beschreibe ganz genau, von wo aus Du auf den Rechner zugreifst (d.h. über welche Netzwerkschnittstelle).

hi

was mir auf den ersten blick so auffällt, deine default policy steht in allen 3 chains auf ACCEPT.

:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]


das einzige was bei dir *verboten* wird, sind reinkommende pakete, die das syn-flag gesetzt haben

-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --syn -j DROP


RH-Lokkit <== ist das die *firewall* von redhat?


Gruß HL

Genug Gelaber! :) :D


da ist er wieder der schrecken aller *rätselfreunde* :D:D:D ;)


Gruß HL

Original geschrieben von Belkira
ipchains und iptables können nicht gleichzeitig aktiviert sein. iptables6 ist für IPv6 und hier irrelevant.
Anders rum funzt es auch nicht.

Anders rum funzt es auch nicht.
Häh?

Versuch es mal mit vernünftiger Sprache und Beantwortung von Rückfragen.

Das Problem ist auf fehlerhafte Redhat startup-Skripte zurückzuführen!!!! (Die ich nicht angerühert habe!)
Jetzt werde ich am besten mit mein eigenens Skript schreiben! *freu*:)

Das Problem ist auf fehlerhafte Redhat startup-Skripte zurückzuführen!!!! (Die ich nicht angerühert habe!)
Jetzt werde ich am besten mit mein eigenens Skript schreiben! *freu*:)
In meinen Augen bist Du ein Laberhannes! ;) :D Zeig dochmal, welche Fehler Du angeblich gefunden hast. Und warum gibst Du nicht die Infos, um die ich gebeten hatte (in Fettschrift hervorgehoben!)?

Nur weil das DOOFE Startupskript nicht die iptables-Regeln anwendet bin ich kein Laberhannes. :)
Jetzt bin ich jedenfalls dicht (ja, mein PC auch)!;)

Unsinn. Mit solchen Antworten disqualifizierst Du Dich nur.

chkconfig ipchains off
service ipchains stop
chkconfig iptables on
service iptables start

Und voila. Ein mit service iptables save gespeichertes Regelwerk wird sogar beim nächsten Reboot automatisch geladen, siehe Inhalt von /etc/sysconfig/iptables. All das läßt sich auch grafisch erledigen.

Was auch immer Du für wilde Sachen probiert hast, es lag an Dir. Z.B. ipchains und iptables gleichzeitig zu aktivieren. Das geht in die Hose. Aber Du widersprichst einem ja nur ohne jegliche Kompetenz.

chkconfig ipchains off
service ipchains stop
chkconfig iptables on
service iptables start

*ächts* Nein, es geht nicht. Da lag das Problem. /etc/sysconfig/iptables wurde NICHT geladen!
(es bestand ein problem mit /etc/rc.d/init.d/iptables)


Was auch immer Du für wilde Sachen probiert hast, es lag an Dir. Z.B. ipchains und iptables gleichzeitig zu aktivieren. Das geht in die Hose. Aber Du widersprichst einem ja nur ohne jegliche Kompetenz

Das tat nichts zum Problem es trat keine Änderung ein.

[B]*ächts* Nein, es geht nicht. Da lag das Problem. /etc/sysconfig/iptables wurde NICHT geladen!
(es bestand ein problem mit /etc/rc.d/init.d/iptables)
Welches Problem soll das sein? Zeig mal!

Daß das ipchains kernel modul bereits geladen war? ;) :D :D