In meinem Firewall Skript gibt der DHCP Router keine Namen an meinem Linux Server

[Scaryman]

Ich habe mal einen Firewall Startskript gemacht der ist zwar nicht besonders aber besser kann ich es momentan nicht.Ich habe nur das Problem das mein Router dem Linux Server keinen Namen gibt.

Also schaut es euch mal an:

#! /bin/bash

iptables -F #Löschen der tabele
iptables -P OUTPUT DROP #Setzen der OUTPUT auf DROP
iptables -P INPUT DROP #Setzen der INPUT auf DROP
iptables -P FORWARD DROP #Setzen der FORWARD auf DROP


#-----------------------------------------------SSH-------------------------------------------------------#
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT #Intern SSH
iptables -A INPUT -i eth0 -p tcp --sport 22 -j ACCEPT #Intern SSH
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -j ACCEPT #Intern SSH
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT #Intern SSH
iptables -A INPUT -i ppp0 -p tcp --dport 22 -j ACCEPT #Extern SSH
iptables -A INPUT -i ppp0 -p tcp --sport 22 -j ACCEPT #Extern SSH
iptables -A OUTPUT -o ppp0 -p tcp --dport 22 -j ACCEPT #Extern SSH
iptables -A OUTPUT -o ppp0 -p tcp --sport 22 -j ACCEPT #Extern SSH

#----------------------------------------------Telnet-----------------------------------------------------#

iptables -A INPUT -i eth0 -p tcp --dport 23 -j ACCEPT #Intern Telnet
iptables -A INPUT -i eth0 -p tcp --sport 23 -j ACCEPT #Intern Telnet
iptables -A OUTPUT -o eth0 -p tcp --dport 23 -j ACCEPT #Intern Telnet
iptables -A OUTPUT -o eth0 -p tcp --sport 23 -j ACCEPT #Intern Telnet
iptables -A INPUT -i ppp0 -p tcp --dport 23 -j ACCEPT #Extern Telnet
iptables -A INPUT -i ppp0 -p tcp --sport 23 -j ACCEPT #Extern Telnet
iptables -A OUTPUT -o ppp0 -p tcp --dport 23 -j ACCEPT #Extern Telnet
iptables -A OUTPUT -o ppp0 -p tcp --sport 23 -j ACCEPT #Extern Telnet

#----------------------------------------------Swat-----------------------------------------------------#

iptables -A INPUT -i eth0 -p tcp --dport 901 -j ACCEPT #Intern Swat
iptables -A INPUT -i eth0 -p tcp --sport 901 -j ACCEPT #Intern Swat
iptables -A OUTPUT -o eth0 -p tcp --dport 901 -j ACCEPT #Intern Swat
iptables -A OUTPUT -o eth0 -p tcp --sport 901 -j ACCEPT #Intern Swat
iptables -A INPUT -i ppp0 -p tcp --dport 901 -j ACCEPT #Extern Swat
iptables -A INPUT -i ppp0 -p tcp --sport 901 -j ACCEPT #Extern Swat
iptables -A OUTPUT -o ppp0 -p tcp --dport 901 -j ACCEPT #Extern Swat
iptables -A OUTPUT -o ppp0 -p tcp --sport 901 -j ACCEPT #Extern Swat

#----------------------------------------------Http-----------------------------------------------------#

iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT #Intern
iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT #Intern
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT #Intern
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT #Intern
iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT #Extern
iptables -A INPUT -i ppp0 -p tcp --sport 80 -j ACCEPT #Extern
iptables -A OUTPUT -o ppp0 -p tcp --dport 80 -j ACCEPT #Extern
iptables -A OUTPUT -o ppp0 -p tcp --sport 80 -j ACCEPT #Extern
iptables -A INPUT -i eth0 -p udp --dport 80 -j ACCEPT #Intern
iptables -A INPUT -i eth0 -p udp --sport 80 -j ACCEPT #Intern
iptables -A OUTPUT -o eth0 -p udp --dport 80 -j ACCEPT #Intern
iptables -A OUTPUT -o eth0 -p udp --sport 80 -j ACCEPT #Intern
iptables -A INPUT -i ppp0 -p udp --dport 80 -j ACCEPT #Extern
iptables -A INPUT -i ppp0 -p udp --sport 80 -j ACCEPT #Extern
iptables -A OUTPUT -o ppp0 -p udp --dport 80 -j ACCEPT #Extern
iptables -A OUTPUT -o ppp0 -p udp --sport 80 -j ACCEPT #Extern

#----------------------------------------------DHCP Failover-----------------------------------------------------#

iptables -A INPUT -i eth0 -p tcp --dport 647 -j ACCEPT #Intern
iptables -A INPUT -i eth0 -p tcp --sport 647 -j ACCEPT #Intern
iptables -A OUTPUT -o eth0 -p tcp --dport 647 -j ACCEPT #Intern
iptables -A OUTPUT -o eth0 -p tcp --sport 647 -j ACCEPT #Intern
iptables -A INPUT -i ppp0 -p tcp --dport 647 -j ACCEPT #Extern
iptables -A INPUT -i ppp0 -p tcp --sport 647 -j ACCEPT #Extern
iptables -A OUTPUT -o ppp0 -p tcp --dport 647 -j ACCEPT #Extern
iptables -A OUTPUT -o ppp0 -p tcp --sport 647 -j ACCEPT #Extern

iptables -A INPUT -i eth0 -p udp --dport 647 -j ACCEPT #Intern
iptables -A INPUT -i eth0 -p udp --sport 647 -j ACCEPT #Intern
iptables -A OUTPUT -o eth0 -p udp --dport 647 -j ACCEPT #Intern
iptables -A OUTPUT -o eth0 -p udp --sport 647 -j ACCEPT #Intern
iptables -A INPUT -i ppp0 -p udp --dport 647 -j ACCEPT #Extern
iptables -A INPUT -i ppp0 -p udp --sport 647 -j ACCEPT #Extern
iptables -A OUTPUT -o ppp0 -p udp --dport 647 -j ACCEPT #Extern
iptables -A OUTPUT -o ppp0 -p udp --sport 647 -j ACCEPT #Extern

#---------------------------------------------DHCPv6-----------------------------------------------------#

iptables -A INPUT -i eth0 -p tcp --dport 546 -j ACCEPT #Intern
iptables -A INPUT -i eth0 -p tcp --sport 546 -j ACCEPT #Intern
iptables -A OUTPUT -o eth0 -p tcp --dport 546 -j ACCEPT #Intern
iptables -A OUTPUT -o eth0 -p tcp --sport 546 -j ACCEPT #Intern
iptables -A INPUT -i ppp0 -p tcp --dport 546 -j ACCEPT #Extern
iptables -A INPUT -i ppp0 -p tcp --sport 546 -j ACCEPT #Extern
iptables -A OUTPUT -o ppp0 -p tcp --dport 546 -j ACCEPT #Extern
iptables -A OUTPUT -o ppp0 -p tcp --sport 546 -j ACCEPT #Extern

iptables -A INPUT -i eth0 -p udp --dport 546 -j ACCEPT #Intern
iptables -A INPUT -i eth0 -p udp --sport 546 -j ACCEPT #Intern
iptables -A OUTPUT -o eth0 -p udp --dport 546 -j ACCEPT #Intern
iptables -A OUTPUT -o eth0 -p udp --sport 546 -j ACCEPT #Intern
iptables -A INPUT -i ppp0 -p udp --dport 546 -j ACCEPT #Extern
iptables -A INPUT -i ppp0 -p udp --sport 546 -j ACCEPT #Extern
iptables -A OUTPUT -o ppp0 -p udp --dport 546 -j ACCEPT #Extern
iptables -A OUTPUT -o ppp0 -p udp --sport 546 -j ACCEPT #Extern

#---------------------------------------------Samba-----------------------------------------------------#

iptables -A INPUT -i eth0 -p tcp --dport 139 -j ACCEPT #Intern
iptables -A INPUT -i eth0 -p tcp --sport 139 -j ACCEPT #Intern
iptables -A OUTPUT -o eth0 -p tcp --dport 139 -j ACCEPT #Intern
iptables -A OUTPUT -o eth0 -p tcp --sport 139 -j ACCEPT #Intern
iptables -A INPUT -i ppp0 -p tcp --dport 139 -j ACCEPT #Extern
iptables -A INPUT -i ppp0 -p tcp --sport 139 -j ACCEPT #Extern
iptables -A OUTPUT -o ppp0 -p tcp --dport 139 -j ACCEPT #Extern
iptables -A OUTPUT -o ppp0 -p tcp --sport 139 -j ACCEPT #Extern

iptables -A INPUT -i eth0 -p udp --dport 139 -j ACCEPT #Intern
iptables -A INPUT -i eth0 -p udp --sport 139 -j ACCEPT #Intern
iptables -A OUTPUT -o eth0 -p udp --dport 139 -j ACCEPT #Intern
iptables -A OUTPUT -o eth0 -p udp --sport 139 -j ACCEPT #Intern
iptables -A INPUT -i ppp0 -p udp --dport 139 -j ACCEPT #Extern
iptables -A INPUT -i ppp0 -p udp --sport 139 -j ACCEPT #Extern
iptables -A OUTPUT -o ppp0 -p udp --dport 139 -j ACCEPT #Extern
iptables -A OUTPUT -o ppp0 -p udp --sport 139 -j ACCEPT #Extern

iptables -A INPUT -i eth0 -p tcp --dport 137 -j ACCEPT #Intern
iptables -A INPUT -i eth0 -p tcp --sport 137 -j ACCEPT #Intern
iptables -A OUTPUT -o eth0 -p tcp --dport 137 -j ACCEPT #Intern
iptables -A OUTPUT -o eth0 -p tcp --sport 137 -j ACCEPT #Intern
iptables -A INPUT -i ppp0 -p tcp --dport 137 -j ACCEPT #Extern
iptables -A INPUT -i ppp0 -p tcp --sport 137 -j ACCEPT #Extern
iptables -A OUTPUT -o ppp0 -p tcp --dport 137 -j ACCEPT #Extern
iptables -A OUTPUT -o ppp0 -p tcp --sport 137 -j ACCEPT #Extern

iptables -A INPUT -i eth0 -p udp --dport 137 -j ACCEPT #Intern
iptables -A INPUT -i eth0 -p udp --sport 137 -j ACCEPT #Intern
iptables -A OUTPUT -o eth0 -p udp --dport 137 -j ACCEPT #Intern
iptables -A OUTPUT -o eth0 -p udp --sport 137 -j ACCEPT #Intern
iptables -A INPUT -i ppp0 -p udp --dport 137 -j ACCEPT #Extern
iptables -A INPUT -i ppp0 -p udp --sport 137 -j ACCEPT #Extern
iptables -A OUTPUT -o ppp0 -p udp --dport 137 -j ACCEPT #Extern
iptables -A OUTPUT -o ppp0 -p udp --sport 137 -j ACCEPT #Extern

#----------------------------------------------Domain-----------------------------------------------------#

iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT #Intern
iptables -A INPUT -i eth0 -p tcp --sport 53 -j ACCEPT #Intern
iptables -A OUTPUT -o eth0 -p tcp --dport 53 -j ACCEPT #Intern
iptables -A OUTPUT -o eth0 -p tcp --sport 53 -j ACCEPT #Intern
iptables -A INPUT -i ppp0 -p tcp --dport 53 -j ACCEPT #Extern
iptables -A INPUT -i ppp0 -p tcp --sport 53 -j ACCEPT #Extern
iptables -A OUTPUT -o ppp0 -p tcp --dport 53 -j ACCEPT #Extern
iptables -A OUTPUT -o ppp0 -p tcp --sport 53 -j ACCEPT #Extern

iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT #Intern
iptables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT #Intern
iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT #Intern
iptables -A OUTPUT -o eth0 -p udp --sport 53 -j ACCEPT #Intern
iptables -A INPUT -i ppp0 -p udp --dport 53 -j ACCEPT #Extern
iptables -A INPUT -i ppp0 -p udp --sport 53 -j ACCEPT #Extern
iptables -A OUTPUT -o ppp0 -p udp --dport 53 -j ACCEPT #Extern
iptables -A OUTPUT -o ppp0 -p udp --sport 53 -j ACCEPT #Extern



Danke für die Hilfe

[HangLoose]

hi

dein script ist recht *eigenwillig*. du verwendest neben ssh zusätzlich noch telnet, warum? ausserdem gibst du samba *zum internet* hin frei. imho sollte man das tunlichst vermeiden.

zudem sind viele regeln überflüssig. um mal bei ssh zu bleiben. du möchtest von deinem client zu deinem router/paketfilter eine ssh verbindung aufbauen können.

client (port <1023) ===> server (port 22)

antwort vom server(port22) ===> client (port <1023)

im allgemeinen wird der nächstfreie port von 1023 abwärts vom client benutzt, und für jede ssh-verbindung ein eigener port, deshalb ist es sinnvoll einen portbereich zu definieren

int=eth0 #internes interface

p_ssh=1000:1023

iptables -A INPUT -i $int -p tcp --sport $p_ssh --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $int -p tcp --sport 22 --dport $p_ssh -m state --state ESTABLISHED,RELATED -j ACCEPT


ps: lass dir mal von harry's seite ein script generieren, da kannst du den aufbau studieren => http://www.harry.homelinux.org/index.php


Gruß HL

[scrat]

"iptables -A INPUT -i $int -p tcp --sport $p_ssh --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT"

related würde in diesem fall doch die komplette firewall aushebeln ?
man connectet an den 22 port ( auch wenn man sich nicht einloggt ist die verbindung established ) und kann von dieser verbindung aus jeden beliebigen port auf dem rechner ansprechen ( RELATED )... oder ?

[HangLoose]

hi scare

related würde in diesem fall doch die komplette firewall aushebeln ?

hm, related bedeutet ja, das die pakete in beziehung zu einer offenen verbindung stehen. ob das bei ssh allerdings zwingend erforderlich ist, ist ne andere frage.

und kann von dieser verbindung aus jeden beliebigen port auf dem rechner ansprechen ( RELATED )... oder ?

meiner meinung nach nicht. alles was an einen port kommt, der nicht explizit erlaubt ist, wird fallengelassen. kommt natürlich auf die default policy an.



Gruß HL

[scrat]

"hm, related bedeutet ja, das die pakete in beziehung zu einer offenen verbindung stehen. ob das bei ssh allerdings zwingend erforderlich ist, ist ne andere frage..."

jo genau das mein ich ja... nur ob ich bei ssh authentifiziert bin oder beim "enter username & pw" - feld bin, macht bei der verbindung an sich keinen unterschied...
d.h. für itables ist is etablished.... dank der RELATED rule kann der ssh-client jetzte jeden port öffen den er will...

[HangLoose]

.... dank der RELATED rule kann der ssh-client jetzte jeden port öffen den er will...

kannst du das mal an einem konkreten beispiel zeigen, wie so ein *angriff* aussehen könnte. mir fehlt da wohl ein wenig die phantasie. also wie kann ich mit dem ssh-client einen beliebigen port öffnen, gern auch als PN .


Gruß HL

[scrat]

ok

also man nehme ein c programm...
öffnet da via socket eine verbindung an den port 22 des opfers....
damit hat mal für die iptables firewall eine ESTABLISHED verbindung zum port 22...
jetzt kann man von dem programm aus jeden beliebigen port beim server des opfers öffnen, da iptables alle verbindungen zu der ersten assoziiert, und sie dank RELATED durch lässt....

mit anderen worten... für das c programm hat ab dem zeitpunkt der connection an den port 22 der server des opfers keine firewall mehr...

aus diesem grund sollte man möglichst ohne RELATED in seiner fw auskomme, bzw. es dort verwenden wo man clients vertraut... z.b. bei dem weg von innen nach aussen (FORWARD)...

[schnipp www.netfilter.org]
When a packet with the SYN+ACK flags set arrrives in response to a packet with SYN set the connection tracking thinks: "I have been just seeing a packet with SYN+ACK which answers a SYN I had previously seen, so this is an ESTABLISHED connection."
-
..., and RELATED meaning that the packet is starting a new connection, but is associated with an existing connection, such as an FTP data transfer, or an ICMP error.
[/schnipp]

[HangLoose]

hi

also man nehme ein c programm...
öffnet da via socket eine verbindung an den port 22 des opfers....

da scheitert es bei mir schon, von solchen sachen hab ich null plan

das ganze ist aber sehr interessant.

aus diesem grund sollte man möglichst ohne RELATED in seiner fw auskomme, bzw. es dort verwenden wo man clients vertraut... z.b. bei dem weg von innen nach aussen (FORWARD)...

um mal bei der ssh-rule von oben zu bleiben. das ganze ist ja eingeschränkt auf das interne interface => -i $int, ssh von aussen ist nicht erlaubt, kann man ohne das komplette script natürlich nicht wissen.

wie siehst du die verwendung von RELATED in folgenden regeln

#--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
# ausgehende Pakete bei bereits aufgebauter Verbindung erlauben
#-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

$ipt -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A FORWARD -i $int -o $ext -m state --state ESTABLISHED,RELATED -j ACCEPT

#--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
# Rückkanal: eingehende Paket zu einer bestehenden Verbindung
#--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

$ipt -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A INPUT -m state --state NEW,INVALID -j my_drop

$ipt -A FORWARD -i $ext -o $int -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A FORWARD -i $ext -o $int -m state --state NEW,INVALID -j my_drop

#------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
# HTTP
#-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

$ipt -A FORWARD -o $ext -m state --state NEW -p TCP --sport $p_high --dport http -j ACCEPT


ohne NEW, dürfte das doch kein problem sein, oder?

würdest du auf RELATED ganz verzichten? ich häng mal mein komplettes script an, eventuell findest du ja noch ne weitere schwachstelle


Gruß HL

[HangLoose]

script vergessen

[scrat]

$ipt -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

hebelt die ganze fw aus, sobald nur 1 einziger port nach aussen offen is, kann von dem port aus, wie oben beschrieben jeder port geöffnet werden...

RELATED braucht man im normalfall gar net, da man die ports selbst soweit einschränken kann... afaik klappt das nur bei ftp nicht so gut... da man entweder für aktiv oder passiv modus einmal RELATED braucht....
wenn man natürlich der absolute sicherheitsfanatiker ist, lässt man related komplett weg und nutz dann eben als client nur den passiv, bzw. als server nur den aktiv modus... ( wie ich )

bsp:
sshd ohne related:
exec_ipt -A INPUT -i $default_iface -p TCP -m state --state NEW --sport $ports_high --dport 22 -s $hostnet -d $default_ip -j $target
exec_ipt -A INPUT -i $default_iface -p TCP -m state --state NEW --sport $ssh_ports_high --dport 22 -s $hostnet -d $default_ip -j $target
ssh client ohne related:
exec_ipt -A FORWARD -i $default_iface -p TCP -m state --state NEW -s $hostnet --sport $ports_high --dport 22 -j $target
exec_ipt -A FORWARD -i $default_iface -p TCP -m state --state NEW -s $hostnet --sport $ssh_ports_high --dport 22 -j $target


falls interresse besteht kann ich ja auch mal meine firewall anhängen

[HangLoose]

hi

erstmal thx für die interessanten info's. das problem mit RELATED war mir nicht bewußt, zumal in meinem schlauen büchlein nichts davon erwähnt wird, im gegenteil von RELATED wird reger gebrauch gemacht

hebelt die ganze fw aus, sobald nur 1 einziger port nach aussen offen is, kann von dem port aus, wie oben beschrieben jeder port geöffnet werden...

auf dem router/firewall selbst läuft kein weiterer dienst, alle ports sind zu.

RELATED braucht man im normalfall gar net, da man die ports selbst soweit einschränken kann... afaik klappt das nur bei ftp nicht so gut... da man entweder für aktiv oder passiv modus einmal RELATED braucht.... wenn man natürlich der absolute sicherheitsfanatiker ist, lässt man related komplett weg und nutz dann eben als client nur den passiv, bzw. als server nur den aktiv modus... ( wie ich )

hab ich mir auch schon gedacht, das das RELATED hauptsächlich für ftp interessant ist. da ich aber keinen passiven ftp-server betreibe, kann ich mir das RELATED wohl wirklich schenken.

falls interresse besteht kann ich ja auch mal meine firewall anhängen

immer her damit


Gruß HL

[scrat]

aba net schreien

--

dazu gibbet dann noch ne firewall.conf in der die hosts einfach angegeben werden...

Code:

# =======================
#
# firewall - config file
#
# =======================

## firewall settings

# files
# hosts.allow file
file_hostsallow="/etc/hosts.allow"

# interfaces
iface_intern="eth0"
iface_extern="ppp0"
iface_secure="ipsec+"
iface_wlan="wlan0"

# hosts
# -local
home_pyx=`res_ip pyx.home.lan`
home_sid=`res_ip sid.home.lan`
home_lap=`res_ip scrat.home.lan`
home_ftp=`res_ip suck-it.home.lan`
home_ftp2=`res_ip ftp2.home.lan`
home_eltern=`res_ip eltern.home.lan`
intern_cyn=$(get_iface_ip $iface_intern)
wlan_cyn=$(get_iface_ip $iface_wlan)

# -ipsec
flo_router=`res_ip lachrouter.home.lan`
flo_client=`res_ip flo.home.lan`
ipsec_scrat=`res_ip scrat.vpn.home.lan`
# -virtual
virtual_webmail=`res_ip webmail.home.lan`
# -inet
inet_cyn=$(get_iface_ip $iface_extern)
inet_ptp=$(get_iface_ptp $iface_extern)
# -wlan
wlan_scrat=`res_ip scrat.wlan.home.lan`

# networks
network_cyn="192.168.0.0/24"
network_flo="172.18.0.0/16"
network_wlan="192.168.1.0/24"

# aliases
trusted_clients="$home_pyx $home_sid $home_lap $home_ftp $home_ftp2"
normal_clients="$trusted_clients $home_eltern"
bc_client="$home_sid"
#  -wlan
wlan_clients="$wlan_scrat"

# ports
#  -irc
irc_ports="6666:6673 31330"
#  -hlsw
hlsw_ports="7130:7132"
#  -teamspeak
tss_port="8767"
#  -webmin
webmin_port="8989"

## virtual ips
# virtual hosts ("" or "interface1 IP1 type interface1 IP2 type interface2 IP1 type...") (sorted by iface)
#   currently supported types: https
virtual_hosts="$iface_intern $virtual_webmail https"

## security options

# reject instead of drop (internal interface) ?
enable_intern_reject=1
# reject instead of drop (secure interface) ?
enable_secure_reject=1
# reject instead of drop (external interface) ?
enable_extern_reject=0
# reject instead of drop (wlan) ?
enable_wlan_reject=1

# block incoming portscans ? (0/1)
enable_portscan_protection=1
# allow internal portscans from... ? ("" or host/network list)
portscan_intern_allow_hosts="$home_pyx $home_sid $home_lap"
# allow ipsec portscans from... ? ("" or host/network list)
portscan_secure_allow_hosts=""
# allow external portscans from... ? ("" or host/network list)
portscan_extern_allow_hosts=""
# allow wlan portscans from... ? ("" or host/network list)
portscan_wlan_allow_hosts=""

## local ( server -> world ) settings
geht via
servicename_client_interface_enable= 0/1

## local services
gibt es 2 möglichkeiten:
servicename_interface_enable=0/1 # für das ganze inferface freigeben..
oder
servicename_interface_allow="host/network host/network ..."

## forward services
gibt es 2 möglichkeiten:
servicename_forward_interface_enable=0/1 # für das ganze inferface freigeben..
oder
servicename_forward_interface_allow="host/network host/network ..."

## dnat
dnat_interface_protocol0=tcp/udp/blubb
dnat_interface_dstport0=zielport/portrange
dnat_interface_fwhost0=forward to host
# optional
dnat_interface_fwport0=port # eine port range auf einen port mappen & weiterleiten

will man mehrere eingeben, muss man eben 0,1,2,3,4,etc in steigender reihenfolge verwenden

[HangLoose]

hi scrat

Heilige Jungfrau was für ein script

bis ich das verstehe, wird wohl noch einiges an wasser die elbe runter fließen


Gruß HL

[scrat]

hehe

is meine 4 te firewall.... langsam nähere ich mich der perfektion

[Jinto]

öffnet da via socket eine verbindung an den port 22 des opfers....
damit hat mal für die iptables firewall eine ESTABLISHED verbindung zum port 22...

Ja

jetzt kann man von dem programm aus jeden beliebigen port beim server des opfers öffnen, da iptables alle verbindungen zu der ersten assoziiert, und sie dank RELATED durch lässt....

Nein. RELATED Pakete müssen zwar zu einer bestehnden Verbindung gehören, aber sofern es sich nicht um Fehlermeldungen handelt, wird ein weiteres Modul benötigt (z. B. ftp), ansonsten ist diese Verbindung nicht RELATED, sondern NEW.

RELEATED ist ein angenehmer weg um nicht alle ICMP Fehlernachrichten von Hand auswerten zu müssen.

siehe auch: http://www.netfilter.org/documentati...l#STATEMACHINE