HAllo Experten,


ich habe folgendes zu iptables gefunden:

iptables –A INPUT –p tcp --tcp-flags ALL ALL -j DROP
iptables –A FORWARD –p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP

Der Autor schreibt, dass man mit den o.g. Zeilen Netzwerk Scannern wie nmap ihrSchnüffelwerk erschweren kann. Ich würde gerne verstehen was hier überhaupt passiert. ICh verstehe nicht was --tcp-flags ALL ALL eigentlich bewirkt. Auch in den Dokumentationen wird mir das nicht ganz klar. KAnn mir jemandd die Sache erklären?

tcp-flag sind die "marken", über die der tcp/ip-stack den status der verbindung markiert oder erkennt...

bsp: three-way-handshake bei tcp:
zuerst wird ein paket mit nem gesetzten SYN-Flag gesetzt...
dieses wird vom Partner mit einem Paket beantwortet, das das SYN-ACK-FLag gesetzt hat, danach wird die connection mit einem gesetzten ACK-Flag gehalten...

siehe dazu: http://193.23.168.186/intranet/tcp.htm

und http://www.trojaner-und-sicherheit.de/TschiTschi/


mit einem FIN-Flag wird eine Session beendet, und mit einem RST resettet...

hat also alles seine Richtigkeit....

es gibt noch diverse flags mehr, es würde jedoch den rahmen des boardes und mein wissen sprengen, die alle zu beschreiben..die o.g. sind jedenfalls die wichtigsten....

ciao

tommy

Hallo boxa,



... --tcpflags ALL ALL -j DROP

es werden TCP-Pakete durch diese Regel gefangen, bei denen alle TCP-FLags gesetzt sind (SYN, ACK, RST, URG, PSH, FIN). Solchermaßen erzeugte TCP-Pakete machen absolut keinen Sinn und werden daher durch Deine Regel gedroppt. Ein so aufgebautes TCP-Paket wird zumeist von Scannern erzeugt (XMas-Scan), wobei der XMas-Scan auch mit weniger gesetzten TCP-Flags häufig eingesetzt wird, nämlich nur den gesetzten FIN-, PSH- und URG-Flags.



... --tcpflags ALL NONE -j DROP

Es werden alle TCP-Pakete gefangen, in denen kein einziges Flag gesetzt ist. Normalerweise sollte es solche Pakete überhaupt nicht geben; einen solchen Scan bezeichnet man als Null-Scan.

Alle Pakete der oben beschriebenen Kategorien laut Deiner Regeldefinition werden also gedroppt.
Darüber hinaus gibt es einige weitere Scan-Möglichkeiten, die Deine Paketfilterregeln nicht explizit verhindern, z.B. einen SYN-ACK-Scan. Solchermaßen geflaggte TCP-Pakete werden im TCP-Handshake vom Server zum Client gesendet und müssen naturgemäß auf einer Paketfilterfirewall aus dem Internet in das lokale Netzwerk (in Richtung der Clients) durchgelassen werden.

Abhilfe kann hier weitgehend eine dynamische Paketfilterfirewall bringen.
Wenn Du Dich dafür weiter interessierst, dann schau einfach mal unter www.netfilter.org nach; dort findest Du umfangreiche Dokus zum Aufbau eines dynamischen Paketfilters mit iptables.

Harry

@Harry

Vielen Dank für diese ausführliche Beschreibung. Außerdem muss ich mich nochmal für das Script zur Benachrichtigung bei Dateneingang am Proftp Server bedanken. Das Script habe ich nocht etwas erweitert. Ich werde es mal zu dem alten Beitrag reinstellen.

Gruß

boxa