Hallo

Ich hab da u.a. unten angeführtes skript...was ich net verstehe: wieso bekomme ich ne ip als dhcp-client, obwohl alle pakete auf port 67 und 68 gedroppt werden???? die regel, dhcp zu erlauben, ist zu unterst, aber auskommentiert...

wieso krieg ich ne ip, bzw...wieso das, obwohl port 67&68 zu...?:[root@master1 etc]# ifup eth0

IP-Informationen werden für eth0 bestimmt... erledigt.

hier noch das skipt:#!/bin/tcsh
echo -n "Filterregeln des MASTERCHAINS werden übernommen..."
#---------------------------
#Variablen:
set IPTABLES = /sbin/iptables
set p_high = 1024:65535 #unprivileged ports
set p_ssh = 1000:1023 #common ssh source ports
set IF = eth0

#---------------------------
#dyn. Kernel Parameter setzen:
echo 0 > /proc/sys/net/ipv4/ip_forward #2 > /dev/null #disable forward chain
echo 1 > /proc/sys/net/ipv4/tcp_syncookies #2> /dev/null #enable tcp-queries
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts #2> /dev/null
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses #2> /dev/null

#---------------------------
#REGELN:
#flush and default policy drop
$IPTABLES -X
$IPTABLES -F
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP

#lokale prozesse freischalten
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT

#---------------------------
#PORTS:
#DNS:53
#dns erlauben
$IPTABLES -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp --sport 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp --sport 53 ! --syn -j ACCEPT


#HTTP:80
#erlauben, http-verbindungen nach aussen zu öffnen
$IPTABLES -A OUTPUT -p tcp --sport 1024: --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp --sport 80 --dport 1024: ! --syn -j ACCEPT

#SSL:443
$IPTABLES -A OUTPUT -p tcp --sport $p_high --dport 443 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport $p_high --sport 443 ! --syn -j ACCEPT

#PING:8/0
#ping: 8 und 0, ausgehend...
$IPTABLES -A OUTPUT -p ICMP --icmp-type echo-request -j ACCEPT
$IPTABLES -A INPUT -p ICMP --icmp-type echo-reply -j ACCEPT

#$IPTABLES -A INPUT -p ICMP --icmp-type echo-request -j DROP
#eingehende pings werden sowieso schon gedroppt (default)

#AUTH/IDENTD:113
$IPTABLES -A INPUT -p tcp --dport 113 --syn -j REJECT
#Erklärung: wolfgang barth/das firewall buch-->S.216

#FTP-control connection:21
#ftp-verbindung für steuerung von lokal her öffnen ist erlaubt.
#eingehende pakete sind erlaubt, wenn die verbindung bestand.
#$IPTABLES -A OUTPUT -p tcp --sport $p_high --dport 21 -j ACCEPT
#$IPTABLES -A INPUT -p tcp --dport $p_high --sport 21 ! --syn -j ACCEPT

#FTP-data connection:??
#nur aktivieren, wenn wirklich nötig-->unsichere regel
#$IPTABLES -A OUTPUT -p tcp --sport $p_high --dport $p_high -j ACCEPT
#$IPTABLES -A INPUT -p tcp --sport $p_high --dport $p_high ! --syn -j ACCEPT

#SSH:22
#secure-shell-zugriff
#
#nur für definierten host ssh-zugriff:
#set FRIEND = IP des vertrauten hosts...
#$IPTABLES -A OUTPUT -p tcp -d $FRIEND --dport 22 --sport $p_ssh -j ACCEPT
#$IPTABLES -A INPUT -p tcp -s $FRIEND --sport 22 ! --syn --dport $p_ssh -j ACCEPT
#-------------
#für alle von aussen ssh-zugriff:
$IPTABLES -A OUTPUT -p tcp --dport 22 --sport $p_ssh -j ACCEPT
$IPTABLES -A INPUT -p tcp --sport 22 ! --syn --dport $p_ssh -j ACCEPT

#DHCP-ports:67/68
#bootps-->67; bootpc-->68
#$IPTABLES -A INPUT -p tcp --dport 67 -j ACCEPT
#$IPTABLES -A INPUT -p tcp --dport 68 -j ACCEPT
#$IPTABLES -A OUTPUT -p udp --dport 67 -j ACCEPT
#$IPTABLES -A OUTPUT -p udp --dport 68 -j ACCEPT
echo "...erfolgreich...!"gruss&danke
pablo

weiss denn hierzu niemand was????

in meinem skript wird dhcp gedroptt.....wieso kann ich dann aber das machen???:
[root@master1 pablo]# ifdown eth0
[root@master1 pablo]# ifup eth0

IP-Informationen werden für eth0 bestimmt... erledigt. das ist (bei mir) nix andres als en dhcp-request...und er bekommt ne antwort.....

kann mir das niemand erklären'??? das müsste doch über den port 67/68 gehen...und der wird gedroppt...

gruss&danke für alle tipps
pablo

???

Vielleicht bekommst Du die IP bevor Dein Skript ausgeführt wird?

mal ne pauschale antwort geben:

nur weil irgendein script sagt, die ip-informationen ... erledigt, heißt es nich, daß du ne ip-addr über dhcp bekommen hast.
außerdem läuft dhcp über broadcast

und jetzt mal speziell:
schau dir doch mal die ip-configuration an
was sagt die leases
wo befindet sich der dhcp? (vielleicht lokal?)
was sagt dein tcpdump?

cu/2 iae

einfach mal tcpdump -i eth0 dst port 67 eingeben und einen dhcp request machen und sehen was passiert...

erstmal http://www.tecchannel.de/special/919/

und

http://www.google.de/search?hl=de&ie=UTF-8&oe=UTF-8&q=iptables+dhcp+drop&meta=lr%3Dlang_de

entschuldige, aber ich hab dein scrpit jetzt nicht genau angeschaut, aber wenn man sich an das prinzip:

1. alles sperren
2. gezielt ports freigeben

hält, dürfte man keine probleme bekommen.

gruß

Original geschrieben von swen1
Vielleicht bekommst Du die IP bevor Dein Skript ausgeführt wird? dem ist so...es ist mir klar, ...
schau dir doch mal die ip-configuration an
was sagt die leaseswo nachschauen???? habe kein zugriff auf dhcp-server....ist en festes modem, erbitte genauere info's... es handelt sich um ein cablecom-modem....
wo befindet sich der dhcp? (vielleicht lokal?) im gleichen netzwerk am hub
was sagt dein tcpdump? ganz unten im beitrag


einfach mal tcpdump -i eth0 dst port 67 eingeben und einen dhcp request machen und sehen was passiert...wie gesagt, ganz unten...
erstmal http://www.tecchannel.de/special/919/

und

http://www.google.de/search?hl=de&i...ta=lr%3Dlang_de mal zum ersten link: so....alles, was da steht, wusste ich bereits schon.... nichts hilft mir, was da steht.....
zum zweiten link: keine verlässliche info's, habe schon überall gesucht.... sonst hätt ich net gepostet...

1. alles sperren
2. gezielt ports freigeben

hält, dürfte man keine probleme bekommen. ich hätte auch keine probleme.... wenn ich nur wüsste, wie ich einen dhcp-lease aufhebe...

habe mittlerweile rausbekommen, wie man tcpdump anspricht.....hier ein teil davon.

17:31:22.561308 arp who-has dclient80-218-67-199.hispeed.ch tell dclient80-218-64-1.hispeed.ch
17:31:22.561656 dclient217-162-226-251.hispeed.ch.32776 > ns10.cablecom.net.domain: 40987+ PTR? 199.67.218.80.in-addr.arpa. (44) (DF)
17:31:22.572474 ns10.cablecom.net.domain > dclient217-162-226-251.hispeed.ch.32776: 40987 1/0/0 (89)
17:31:22.578704 arp who-has dclient80-218-67-200.hispeed.ch tell dclient80-218-64-1.hispeed.ch
17:31:22.578987 dclient217-162-226-251.hispeed.ch.32776 > ns10.cablecom.net.domain: 40988+ PTR? 200.67.218.80.in-addr.arpa. (44) (DF)
17:31:22.598973 ns10.cablecom.net.domain > dclient217-162-226-251.hispeed.ch.32776: 40988 1/0/0 (89)
17:31:22.607936 arp who-has dclient217-162-227-184.hispeed.ch tell dclient217-162-226-1.hispeed.ch
17:31:22.608345 dclient217-162-226-251.hispeed.ch.32776 > ns10.cablecom.net.domain: 40989+ PTR? 184.227.162.217.in-addr.arpa. (46) (DF)
17:31:22.621772 ns10.cablecom.net.domain > dclient217-162-226-251.hispeed.ch.32776: 40989 1/0/0 (93)
17:31:22.628726 arp who-has dclient80-218-66-70.hispeed.ch tell dclient80-218-64-1.hispeed.ch
17:31:22.641008 arp who-has dclient80-218-64-99.hispeed.ch tell dclient80-218-64-1.hispeed.ch
17:31:22.641463 dclient217-162-226-251.hispeed.ch.32776 > ns10.cablecom.net.domain: 40990+ PTR? 99.64.218.80.in-addr.arpa. (43) (DF)
17:31:22.679232 ns10.cablecom.net.domain > dclient217-162-226-251.hispeed.ch.32776: 40990 1/0/0 (87)
17:31:22.680144 arp who-has dclient80-218-67-201.hispeed.ch tell dclient80-218-64-1.hispeed.ch
17:31:22.680596 dclient217-162-226-251.hispeed.ch.32776 > ns10.cablecom.net.domain: 40991+ PTR? 201.67.218.80.in-addr.arpa. (44) (DF)
17:31:22.691942 arp who-has dclient80-218-69-161.hispeed.ch tell dclient80-218-64-1.hispeed.ch
17:31:22.693699 ns10.cablecom.net.domain > dclient217-162-226-251.hispeed.ch.32776: 40991 1/0/0 (89)
17:31:22.743511 arp who-has dclient80-218-66-168.hispeed.ch tell dclient80-218-64-1.hispeed.ch
17:31:22.743842 dclient217-162-226-251.hispeed.ch.32776 > ns10.cablecom.net.domain: 40992+ PTR? 168.66.218.80.in-addr.arpa. (44) (DF)
17:31:22.757324 ns10.cablecom.net.domain > dclient217-162-226-251.hispeed.ch.32776: 40992 1/0/0 (89)
17:31:22.816249 arp who-has dclient80-218-70-29.hispeed.ch tell dclient80-218-64-1.hispeed.ch
17:31:22.827368 arp who-has dclient80-218-67-202.hispeed.ch tell dclient80-218-64-1.hispeed.ch
17:31:22.827660 dclient217-162-226-251.hispeed.ch.32776 > ns10.cablecom.net.domain: 40993+ PTR? 202.67.218.80.in-addr.arpa. (44) (DF)
17:31:22.842245 ns10.cablecom.net.domain > dclient217-162-226-251.hispeed.ch.32776: 40993 1/0/0 (89)
17:31:22.898169 arp who-has dclient80-218-66-169.hispeed.ch tell dclient80-218-64-1.hispeed.ch
17:31:22.898554 dclient217-162-226-251.hispeed.ch.32776 > ns10.cablecom.net.domain: 40994+ PTR? 169.66.218.80.in-addr.arpa. (44) (DF)
17:31:22.913836 ns10.cablecom.net.domain > dclient217-162-226-251.hispeed.ch.32776: 40994 1/0/0 (89)

954 packets received by filter
0 packets dropped by kernel

so...also....0 packete gedroppt....ich check nix...hier meine (NICHT-AKTIVE) regel:#DHCP-ports:67/68
#bootps-->67; bootpc-->68
#$IPTABLES -A INPUT -p tcp --dport 67 -j ACCEPT
#$IPTABLES -A INPUT -p tcp --dport 68 -j ACCEPT
#$IPTABLES -A OUTPUT -p udp --dport 67 -j ACCEPT
#$IPTABLES -A OUTPUT -p udp --dport 68 -j ACCEPTalles andere wird gedroppt....also auch port 67&68, weil der code hier oben ja auskommentiert ist...

wie zum geier beendige ich meinen lease??????? (wo nachschauen, wie lange der ist...)
warum habe ich immer noch internet???
wieso zum geier "0 packets dropped", obwohl port 67&68 einfach zu sind???

ich versteh die welt nicht mehr....please help

danke für alle tipps
gruss
pablo

so, noch das...was da auch erwähnt wurde:
[root@master1 sbin]# ./tcpdump -i eth0 dst port 67
tcpdump: listening on eth0







3 packets received by filter
0 packets dropped by kernelaber wieso zum geier "0 packets dropped"...? hilfe...verzweifel....usw...
gruss

bei tcpdump kommen die pakete die an der firewall gedroppt werden garnicht an!
das gedroppt von tcpdump bezieht sich auf den dump selber.

hast du mal tcpdump so gestartet, wie ich das oben vorgeschlagen habe?

Original geschrieben von Windoofsklicker
bei tcpdump kommen die pakete die an der firewall gedroppt werden garnicht an!
das gedroppt von tcpdump bezieht sich auf den dump selber.

hast du mal tcpdump so gestartet, wie ich das oben vorgeschlagen habe? merci, das gibt das 2. bild richtung ooben von hier aus...

.....dort habe ich nur tcpdump eingegeben

*verzweifel*
erbitte hilfe
gruss

hier der anfang beim befehl "tcpdump":
[root@master1 sbin]# ./tcpdump
tcpdump: listening on eth0
18:52:23.955732 arp who-has dclient80-218-71-78.hispeed.ch tell dclient80-218-64-1.hispeed.ch
18:52:23.957000 dclient217-162-226-251.hispeed.ch.32780 > ns10.cablecom.net.domain: 24050+ PTR? 78.71.218.80.in-addr.arpa. (43) (DF)
18:52:23.970020 ns10.cablecom.net.domain > dclient217-162-226-251.hispeed.ch.32780: 24050 1/0/0 (87)
18:52:24.024360 dclient217-162-226-251.hispeed.ch.32780 > ns10.cablecom.net.domain: 24051+ PTR? 1.64.218.80.in-addr.arpa. (42) (DF)
18:52:24.044903 ns10.cablecom.net.domain > dclient217-162-226-251.hispeed.ch.32780: 24051 1/0/0 PTR[|domain]
18:52:24.046216 dclient217-162-226-251.hispeed.ch.32780 > ns10.cablecom.net.domain: 24052+ PTR? 60.17.2.62.in-addr.arpa. (41) (DF)
18:52:24.046459 arp who-has dclient80-218-70-196.hispeed.ch tell dclient80-218-64-1.hispeed.ch
18:52:24.057349 ns10.cablecom.net.domain > dclient217-162-226-251.hispeed.ch.32780: 24052 1/0/0 PTR[|domain]
18:52:24.110198 arp who-has dclient80-218-71-79.hispeed.ch tell dclient80-218-64-1.hispeed.ch
18:52:24.111334 dclient217-162-226-251.hispeed.ch.32780 > ns10.cablecom.net.domain: 24053+ PTR? 251.226.162.217.in-addr.arpa. (46) (DF)
18:52:24.122091 ns10.cablecom.net.domain > dclient217-162-226-251.hispeed.ch.32780: 24053 1/0/0 (93)
18:52:24.122821 arp who-has dclient217-162-226-200.hispeed.ch tell dclient217-162-226-1.hispeed.ch
18:52:24.122877 dclient217-162-226-251.hispeed.ch.32780 > ns10.cablecom.net.domain: 24054+ PTR? 196.70.218.80.in-addr.arpa. (44) (DF)
18:52:24.135359 ns10.cablecom.net.domain > dclient217-162-226-251.hispeed.ch.32780: 24054 1/0/0 (89)
18:52:24.182517 arp who-has dclient80-218-68-211.hispeed.ch tell dclient80-218-64-1.hispeed.ch
18:52:24.257180 dclient217-162-226-251.hispeed.ch.32780 > ns10.cablecom.net.domain: 24055+ PTR? 79.71.218.80.in-addr.arpa. (43) (DF)
18:52:24.271360 arp who-has dclieund hier das ende:
18:53:25.557860 arp who-has dclient80-218-68-77.hispeed.ch tell dclient80-218-64-1.hispeed.ch
18:53:25.688436 arp who-has dclient80-218-70-58.hispeed.ch tell dclient80-218-64-1.hispeed.ch
18:53:25.688802 dclient217-162-226-251.hispeed.ch.32782 > ns10.cablecom.net.domain: 41585+ PTR? 58.70.218.80.in-addr.arpa. (43) (DF)
18:53:25.699830 ns10.cablecom.net.domain > dclient217-162-226-251.hispeed.ch.32782: 41585 1/0/0 (87)
18:53:25.712819 arp who-has dclient80-218-69-164.hispeed.ch tell dclient80-218-64-1.hispeed.ch
18:53:25.907081 arp who-has dclient80-218-68-53.hispeed.ch tell dclient80-218-64-1.hispeed.ch

1081 packets received by filter
0 packets dropped by kernel.....port 67 und port 68 ist zu...

....was heisst das jetzt?
gruss&danke für jeden tipp
pablo

Original geschrieben von pablovschby
.... wenn ich nur wüsste, wie ich einen dhcp-lease aufhebe...


ohne es jetzt überprüft zu habe ob es so geht: es gibt soch eine dhcp.leases, kann man die nicht als root bearbeiten?

gruß

ich nahm:
ifdown eth0dann hab ich die datei /var/lib/dhcp/dhclient-eth0.leases gelöscht und wieder
ifup eth0gemacht...natürlich bekommt er noch die ip, obwohl gedroppt

weiss denn niemand, wie man auf nem linux-system en dhcp-request macht? also lease verwerfen und dann neuen anfordern...

pump&co gehen alle bei mir net
gruss
pablo