Hallo,

ich habe ein RH 9 als Proxy (squid 2.5) und Router eingerichtet.
Die erste NIC ist im lokalen Netz.
Die zweite hat eine öffentliche IP und ist an einen DSL-Router angeschlossen, der nur durchreicht.

NAT ist wie folgt eingerichtet :
'echo 1 > /proc/sys/net/ipv4/ip_forward' und
"iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 62.X.X.X"

Jetzt habe ich mir mit dem Tool 'Lokkit' von RedHat (wegen IP-Tables-Newbie) eine "Firewall" bzw. einen Paketfilter eingerichtet.

Ein "iptables -L" gibt folgendes aus:

Chain FORWARD (policy ACCEPT)
target prot opt source destination
RH-Lokkit-0-50-INPUT all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain RH-Lokkit-0-50-INPUT (2 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT udp -- dns-server1 anywhere udp spt:domain
ACCEPT udp -- dns-server2 anywhere udp spt:domain
ACCEPT udp -- provider-server anywhere udp spt:domain
REJECT tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN reject-with icmp-port-unreachable
REJECT udp -- anywhere anywhere udp reject-with icmp-port-unreachable

Jetzt habe ich das System mal mit Nessus testen lassen.

Folgende Infos habe ich bekommen:

Informational general/tcp Nmap found that this host is running Linux Kernel 2.4.0 - 2.5.20, Linux 2.4.19-pre4 on Alpha, Linux Kernel 2.4.0 - 2.5.20 w/o tcp_timestamps, Gentoo 1.2 linux (Kernel 2.4.19-gentoo-rc5), Linux 2.5.25 or Gentoo 1.2 Linux 2.4.19 rc1-rc7), Linux 2.4.7 (X86)

The remote host answers to an ICMP timestamp
request. This allows an attacker to know the
date which is set on your machine.

This may help him to defeat all your
time based authentication protocols.

Solution : filter out the ICMP timestamp
requests (13), and the outgoing ICMP
timestamp replies (14).

Wie kann ich diese beiden Löcher denn stopfen?

Danke
/noodles

Hi

Die Antwort steht doch schon im Nessus-Report: Blocke mit Deinem iptables die genannten ICMP-Pakate bei eingehendem Traffic. Was ist Dir daran unklar??

Was die OS-Erkennung von nmap angeht: Dagegen etwas zu unternehmen ist schwierig, da jedes OS charakteristische Merkmale in seinen IP-Paketen hat. Es gibt aber wohl Tools, die das ändern und nmap aufs Glatteis führen, google mal danach.

Gruß
D. O.

Danke für die Antwort!

Wie gesagt, bin ich iptables-newbie.

Ich hatte gehofft, dass jmd. mir einen Tip gibt, wie der Befehl dazu lautet, und was ich machen muss, damit der neue Regelsatz beim Booten geladen wird.
Oder wenn es eine GUI gibt, die meine bestehende lokkit-Regeln einlesen und modifizieren kann.

Ich weiß, normalerweise kommt jetzt ein RTFM oder 'man iptables', ist ja auch richtig.

Hab' nur wenig Zeit, wenn ich dazu komme, werde ich es mir anlesen.
Das mit der OS-Erkennung werde ich auch mal überprüfen, die Novellis bei uns sind nämlich so stolz darauf, dass "ihr" Novell Border Manager nicht erkannt wird .

Bis dann
/noodles

hi

schnelldurchlauf

iptables per script schreiben
dieses dann in rc.d/boot.local reinschmeißen (also nen absoluten pfad auf das script)
dann wird das immer beim start geladen

die rule für icmp sollte ungefähr so aussehen

iptables -p icmp --icmp-type [x] -j DROP

für x wählst du einen icmp code (iptables -p icmp -h)

greez

Prima, Emba. Mir war entgangen, daß noodles einfach den Befehl wissen wollte. Ich hatte es als Interpretations-Problem der Nessus-Reports gesehen.

Hi,

danke nochmal an beide, werde mir das gleich mal ansehen.

/noodles