PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : iptables / OUTPUT Drop Frage



Dono
15.05.14, 13:22
Hallo!

Ich habe in meiner Firewall die Regel, dass ausgehende Verbindungen erlaubt sind.
1) -m state --state ESTABLISHED,RELATED -j ACCEPT
2) -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Trotzdem werden immer mal wieder Pakete gedroppt. (aber sehr selten)

log) OUTPUT Drop: .... DPT=22 WINDOW=256 RES=0x00 URG PSH SYN FIN URGP=0

Aber warum?

blubbersuelze
15.05.14, 21:02
Hallo,

So weit ich hier sehe :

log) OUTPUT Drop: .... DPT=22 WINDOW=256 RES=0x00 URG PSH SYN FIN URGP=0

Wenn das alle gesetzten Flags im Paket sind, ist das wg. der beiden markierten Flags nachvollziehbar.

Deine Regeln blockieren Packete dieser Art und das ist gut so.
Diese Syn-Fin Pakete sind ein "Fehler" in der TCP-Spezifikation und werden gerne für sogenannte Syn-Fin-Flood Attacken verwendet.

Was macht das Packet genau?
Es stellt eine Verbindung her (SYN) und beendet die Verbindung zugleich (FIN).

Also kein Grund sich Gedanken zu machen.

Hier ein paar weitere Absicherungsbeispiele:
http://www.razien.de/erste-massnahmen-bei-dos-syn-flood/65/

vlt. hilft dir das weiter,
gruß

Dono
16.05.14, 09:55
OK, danke. War hilfreich.

Dono
20.05.14, 09:50
einen habe ich noch: OUTPUT Drop:WINDOW=331 RES=0x00 ACK FIN URGP=0
:confused:

blubbersuelze
21.05.14, 21:48
eigentlich das gleiche, ACK wird beim Aufbau einer Verbindung als Bestätigung des Aufbaus zurück geschickt.

Dono
04.06.14, 09:25
.... und noch eine Frage. Ich habe stateful Regeln in der Firewall.
Ausgehende state NEW sind erlaubt und es funktioniert soweit auch wie es soll.
Trotzdem werden eine wenige Verbindungen gedropt.

OUTPUT Drop: DF PROTO=TCP SPT=631 DPT=51326 WINDOW=0 RES=0x00 RST URGP=0
631=IPP
Aber warum?

blubbersuelze
04.06.14, 20:23
OUTPUT Drop: DF PROTO=TCP SPT=631 DPT=51326 WINDOW=0 RES=0x00 RST URGP=0 631=IPP

Mit RST wird eine Verbindung resetet also zurückgesetzt/terminiert

Dono
05.06.14, 09:35
benötigt man für den Fall eine extra Regel, weil dieses Paket von NEW und RELATED,ESTABLISHED nicht erfasst wird?

blubbersuelze
05.06.14, 20:30
Ein RST-Flag wird gesetzt wenn Pakete ungültig oder nicht erwartet sind.

ich weiß ja nicht wie dein Ruleset komplett aussieht, aber es ist durchaus ok, das dieses Paket im Context gedropt wird.

P.S. so tief wie du dich mit dem Thema beschäftigst, mal über ein Buch oder dergleichen nachgedacht welche sich mit TCP/IP richtig beschäftigt, evtl. auch Bücher über Netzwerksicherheit ?

Dono
10.06.14, 10:34
Hi,

TCP/IP Buch habe ich, aber manches lässt sich einfacher erfragen als Buch oder Suchmaschine.
Manchmal hilft ein Buch auch nicht weiter. Zu Glück gibt es Foren ;-)

Warum manche Pakete gedroppt werden ist mit auch noch nicht 100% klar. Vermutlich passt die Applikation nicht zum iptables Stateful oder es vergeht zuviel Zeit zwischen den Paketen.

Trotzdem danke. für deine Hilfe. Meine FW wird jedenfall immer besser. Aber jetzt kommt auch noch nftables ...

nopes
10.06.14, 11:55
Warum manche Pakete gedroppt werden ist mit auch noch nicht 100% klar. Vermutlich passt die Applikation nicht zum iptables Stateful oder es vergeht zuviel Zeit zwischen den Paketen...
Dann sollte die oberste Prio sein, genau das zu verstehen. Dafür stehen dir zum einen Log Ausgaben der Firewall zur Verfügung, zum anderen kann man relativ simple Netzwerkverkehr simulieren, so dass man mit den Logs nachvollziehen kann. Fürs simulieren gibt es vermutlich etliche Tools, persönlich nehme ich dafür am liebsten Perl, gibt aber auch "fertige" Produkte wie hping (http://wiki.hping.org/25) oder nemesis (http://nemesis.sourceforge.net/); "fertig" weil die meisten mit einer eigenen Syntax kommen, in der man dann die Simulation coden muss, daher nehme ich lieber Perl, dass kann ich schon und muss nicht erst noch was lernen und entsprechend schnell ist es codiert...

Dono
13.06.14, 08:01
Hi,

ich werde mir hping und nemesis mal anschauen. Ein Frage habe ich aber trotzdem noch.
Was für eine Regel erstellt man für so einen Fall:
OUTPUT Drop: PROTO=TCP SPT=8080 DPT=61890 WINDOW=0 RES=0x00 RST URGP=0")

Ausprobiert habe ich: --sport 22 --tcp-flags RST RST -j ACCEPT
Oder doch -j DROP? Oder etwas ganz anderes?

nopes
13.06.14, 09:00
hmm willst halt den TCP Header genauer betrachten, siehe hier (http://www.stearns.org/doc/iptables-u32.v0.1.html), da wird beschrieben wie denn komplette zerlegen kannst.

Dono
02.07.14, 10:00
Hi

ich bin nur etwas verwundert, dass das RST Paket gedropt wird. Ausgehend haben ich alle Pakete erlaubt. (dachte ich jedenfalls)

snowcrash23
14.07.14, 18:40
Beitrag #15 als Spam gemeldet.