Hallo!

Folgende Einträge im log nerven mich:

IN=eth0 OUT= MAC=00:5b:48:11:49:82:00:00:d1:f0:11:3a:08:00 SRC=109.212.215.11 DST=113.159.224.3 LEN=68 TOS=0x00 PREC=0x00 TTL=4 ID=23406 PROTO=UDP SPT=64014 DPT=33448 LEN=48

Offbar verursacht durch einen traceroute. Mit welcher iptables Regel könnte ich dem mit Deny oder Accept begegnen?

Hallo!

Folgende Einträge im log nerven mich:

IN=eth0 OUT= MAC=00:5b:48:11:49:82:00:00:d1:f0:11:3a:08:00 SRC=109.212.215.11 DST=113.159.224.3 LEN=68 TOS=0x00 PREC=0x00 TTL=4 ID=23406 PROTO=UDP SPT=64014 DPT=33448 LEN=48

Offbar verursach durch einen traceroute. Mit welcher iptables Regel könnte ich dem mit Deny oder Accept begegnen?

Öhm.. benutzt traceroute nicht icmp? egal...

iptables -A INPUT -p udp -s 109.212.215.11 -d 113.159.224.3 -dport 33448 -j DROP müsste es erledigen ...

# ICMP
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 12 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 11 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 12 -j ACCEPT


Ich fahre hier mit ganz gut, bin mir grad nicht sicher, ob dein Problem damit auch gelost wird, sollte es aber.
Erklärung gibts nachher, grad keine Zeit.

Öhm.. benutzt traceroute nicht icmp? egal...

iptables -A INPUT -p udp -s 109.212.215.11 -d 113.159.224.3 -dport 33448 -j DROP müsste es erledigen ...

und was ist, wenn sich IP-Adresse oder Port ändern?

ich würde einen Default Drop machen ... ist auch normal, das zu machen ( das oben ist meiner Meinung nachzu 99% kein traceroute ).

Erlaube was du brauchst und droppe alles andere was von extern kommt ... im Internet kommen ständig Witzbolde und scannen deinen Rechner etc ...

Wozu also für alles Regeln erstellen?

Nein, kein Drop sondern Reject ....

hi,

nur zur info - traceroute kann man aber auch über udp oder tcp machen.

man traceroute (icmp+udp)
man tcptraceroute (tcp)

gruß,
matze

Hi,

zur Aufklärung:
traceroute (also das unter Linux) arbeitet mit UDP-Datagrammen, die es Richtung Ziel schickt. Als Antwort kommen typischerweise jedoch ICMP-Datagramme zurück (TTL-exceeded oder Destination Unreachable/Port unreachable).

Das Pendant unter Windows (tracert) arbeitet hier reinweg mit ICMP sowohl im Versand als auch im Empfang.

@Sonny: Wie sollen wir Dir hier genau sagen können, was Du konfigurieren musst, um diese Meldungen zu unterdrücken, wenn Du uns nichtmal schreibst, wie diese Meldungen im Logfile erzeugt werden?
Die Vorschläge zur Lösung Deines Problems weiter oben sind m.E. alle nicht korrekt; wie denn auch: Wenn Du uns nicht sagst, wie Deine Filterregeln aufgebaut sind, dann geht halt die wilde Raterei los. Zudem ist die gelistete Logzeile unvollständig.

Also bitte: Rück' mal Deine Regeln und die vollständige Logzeile raus und _dann_ können wir uns das mal genauer anschauen. Für Spekulationen sollte gerade in diesem Forum (Sicherheit) eigentlich kein Raum sein.

Harry

ja, da hast du natürlich Recht:

$ipt -A INPUT -j LOG --log-prefix "ILLEGAL" --log-tcp-options --log-ip-options
$ipt -A INPUT -j DROP

alles was nicht erlaubt ist wird vor dem DROP gelogt.

Nein, kein Drop sondern Reject ....Warum eigentlich? Damit sagt man seinem "Gegenüber" doch, dass man da ist...

Susu

Warum eigentlich? Damit sagt man seinem "Gegenüber" doch, dass man da ist...
Wie kann ich mich unsichtbar machen?
Um "unsichtbar" zu sein, müßtest Du mit der IP Adresse Deines nächsten Routers "ICMP - Host/Network unreachable" senden.

Merke: Bei ICMP ist keine Antwort gleichbedeutend mit "ich bin hier". Weil wenn Du nicht da wärst, würde jemand anderes sagen "Der ist nicht da". Nämlich der nächste Router. (Der steht bei Deinem Provider und Du hättest kein Internet.) und
Ist REJECT oder DENY sinnvoller?
Als REJECT bezeichnet man die aktive Ablehnung einer Verbindungsanfrage mit einem ICMP Paket vom Inhalt "Der Admin hat's verboten" oder "Dienst nicht verfügbar".

Als DENY bezeichnet man das kommentarlose Wegwerfen der Verbindungsanfrage. Damit läuft der Anfragende in einen Timeout.

Admins, die sich über Script Kiddies ärgern, glauben oft, diese durch DENY aufhalten zu können. Dies ist jedoch falsch. Es ist problemlos möglich, viele tausend Scans gleichzeitig zu starten und so auf alle Timeout gleichzeitig zu warten. Ein Scanner wird so nicht gebremst. Andererseits bremst man mit DENY alle legitimen Nutzer und Server massiv aus. Das betrifft insbesondere die ident Anfragen.

Ident dient dazu, dem Admin eines ordentlich gepflegten Systems eine Hilfestellung bei der Identifizierung seiner, sich daneben benehmenden Nutzer zu geben. DENY für ident bewirkt nur, daß diese Hilfestellungen bei anderen Servern nicht mehr aufgezeichnet werden. Wenn Du als Schutzpatron für Spammer und Scriptkiddies auftreten willst, nimm DENY.

Sieh das Ganze doch so, wie in einer offenen Beziehung:
Es ist besser seinem Partner direkt zu sagen, daß man über ein bestimmtes Thema nicht sprechen möchte (REJECT): Der Partner weiß sofort, was Sache ist und und kann dann ohne Zeitverzögerung seine Entscheidung darüber treffen, ob er die Beziehung fortsetzen möchte oder nicht.

Geht man auf ein Thema allerdings gar nicht ein (DENY) und stellt die Ohren auf Durchzug, kostet das a) einem selber Zeit dem Geschwafel des Partners zuzuhören und b) dem Partner ebenfalls Zeit; er möchte nämlich ein für ihn wichtiges Thema/Problem loswerden, und hätte das dann ja wohl besser woanders getan.

Ein anderes Beispiel aus dem Leben:
Du gehst durch die Einkaufstraße deiner Stadt, und irgendein "Penner" quatscht dich an, und will 'nen Euro. Hier könnte man sagen "Ach ne, habe selbst kein Geld" (REJECT) oder einfach die fortgesetzte Bettelei ertragen. http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

Bin zwar diesbezüglich noch recht ahnungslos, aber klingt zumindest logisch.
Muß mich da bei Gelegenheit mal ausführlicher einlesen.

Also ich sende kein ICMP-Reply und habe trotzdem Internet. *g*

Dann hast du noch nie an einem IRC Server mehrere Minuten auf nen Login gewartet wenns dringend war :D :ugly:

Dann hast du noch nie an einem IRC Server mehrere Minuten auf nen Login gewartet wenns dringend war :D :ugly:Nö, hab ich auch nicht. Und außerdem erledige ich drigende Sachen nicht übers IRC. Das ist für mich nur just for fun...

Susu

Es macht dich kein bischen sicherer, noch surfst du "unsichtbar" durch Internet.

*Edit*
Irc is just for fun, also verwerfe ich sämtliche ICMP-Requests. You made my day :ugly:

Ich verwende REJECT mit limit - keine Gefahr für andere durch Floods und der "ehrliche" Fragesteller muss nicht minutenlang warten.

da hab ich ja wieder was gelernt :D Leider habe noch keine Lösung passend zu meinem Problemchen.