linux-l: Telnet von Windows aus geht obwohl Ports gesp. sind
Guenther Thomsen
tho at thomsen.isdn.cs.tu-berlin.de
So Mai 23 12:32:11 CEST 1999
In message <37472039.7CCADC0E at gmx.net>, Robert Koropcak writes:
> Hi !
>
> Ich habe ein merkwürdiges Phänomen unter Windows.
>
> Greife ich unter Linux auf telnet zu, funktioniert es nicht. Kein Wunder
> den Telnet Port hab ich ja auch dicht gemacht. Das gleiche von einer
> Windows Workstation und ich kann mich ganz normal unter Telnet
> einloggen.
??? Kannst Du bitte deutlich machen, von welchen Rechner aus Du auf welchen
Rechner zuzugreifen versuchst?
>
> Nach einigem Testen habe ich herausgefunden, das die folgenden Zeilen
> den Telnet Zugang ermöglichen. Diese sollen jedoch
> notwendig sein, damit Clients untereinander Verbindung aufnehmen können.
Also was genau benoetigst Du und was moechtest Du verhindern?
>
> Folgendes Minimalskript von mir:
>
> ANY=0.0/0
>
> # Default policy auf deny
In der test-phase moechte ich 'reject' dringend empfehlen, ausserdem wuerde
ich ein Protokoll fuehren lassen.
> ipfwadm -I -p deny
> ipfwadm -O -p deny
> ipfwadm -F -p deny
>
> # Freigabe der unpriviligierten Ports
> ipfwadm -I -a accept -P tcp -S $ANY 1024:65535
> ipfwadm -O -a accept -P tcp -D $ANY 1024:65535
> ipfwadm -I -a accept -P udp -S $ANY 1024:65535
> ipfwadm -O -a accept -P udp -D $ANY 1024:65535
>
> Das zusätzliche Sperren von Port 23 hat logischerweise nichts gebracht,
??? Die obigen Regeln erlauben _jedem_ auf (u.a.) Port 23 zuzugreifen, einer
Telnet session steht also nichts im Wege.
Ist Dir bewusst, dass jede Regel Source und Destination Adressen ent-
haelt? Werden sie nicht angegeben, wird 0/0 0:65535 angenommen.
> das gleiche Ergebnis, s.o. Tcpdump zeigt, das Windows über die
> unpriviligierten Ports zugreift (über 1023 an aufwärts) ???.
Jeder Telnet client (d.h. unter jedem OS) ist gut beraten unpriviligierte
Ports auf client-seitig zu verwenden. Auf dem server wird Port 23 ange-
sprochen (fuer das telnet Protokoll). Wenn Du also verschiedene Dienste
auf dem Server fuer andere unzugaenglich machen moechtest, solltest Du
den Zugriff auf eben jene Ports sperren und keine Annahmen ueber die vom
Client verwendeten Ports machen (boese Jungs halten sich nicht an die
Regeln ;-)
Guenther
Mehr Informationen über die Mailingliste linux-l