linux-l: Telnet von Windows aus geht obwohl Ports gesp. sind
Robert Koropcak
mtrob at gmx.net
Mo Mai 24 11:43:29 CEST 1999
[...]
??? Kannst Du bitte deutlich machen, von welchen Rechner aus Du auf welchen
Rechner zuzugreifen versuchst?
Ja, von Client 192.168.100.2 (Windows) auf 192.168.100.200 LXSERVER
Ist Dir bewusst, dass jede Regel Source und Destination Adressen ent-
haelt? Werden sie nicht angegeben, wird 0/0 0:65535 angenommen.
Ja. Da ich mit Firewalls halt erst vor ner Woche angefangen habe , sind aber
teilweise noch "Denk"fehler in den Skripten, die meisten! (leider nur)
offenbaren sich nach einigem Testen.
> das gleiche Ergebnis, s.o. Tcpdump zeigt, das Windows über die
> unpriviligierten Ports zugreift (über 1023 an aufwärts) ???.
Jeder Telnet client (d.h. unter jedem OS) ist gut beraten unpriviligierte
Ports auf client-seitig zu verwenden. Auf dem server wird Port 23 ange-
sprochen (fuer das telnet Protokoll). Wenn Du also verschiedene Dienste
auf dem Server fuer andere unzugaenglich machen moechtest, solltest Du
den Zugriff auf eben jene Ports sperren und keine Annahmen ueber die vom
Client verwendeten Ports machen (boese Jungs halten sich nicht an die
Regeln ;-)
Genau das habe ich ja versucht.
Hi !
ipfwadm -I -a deny -P tcp -S $ANY 1024:65535 -D myhost 23
Obige Regel (Danke Phils) in mein Testskript eingefügt löst das Problem. Doch
trotzdem nochmal, wo genau liegt der Fehler in meimen Skript. Da ich doch brav
den Telnet Port 23 für IN und Output gesperrt habe.
Ciao
Robert
Hier nochmal das Testskript in voller Länge:
LOCAL=127.0.0.1
ETH0=192.168.100.200
ETH1=XXXX
LAN=192.168.100.0/24
ANY=0.0.0.0/0
# Alle Regeln werden geloescht und die Default Policy wird auf
# deny gesetzt. Alles ist verboten, was nicht explizit erlaubt wurde.
ipfwadm -I -f
ipfwadm -O -f
ipfwadm -F -f
ipfwadm -I -p deny
ipfwadm -O -p deny
ipfwadm -F -p deny
# Verbot fuer gefaehrdete Dienste (Ports)
# systat, netstat finger (TCP 11,15,79)
# NETBIOS (TCP und UDP 137,138,139)
# SNMP (UDP 161, 162), telnet (TCP 23)
# NFS (TCP und UDP 2049), X Server (TCP 6000)
ipfwadm -I -a deny -P tcp -S $ANY 11 15 23 79 2049 -W eth0 -o #!!!!!
ipfwadm -O -a deny -P tcp -D $ANY 11 15 23 79 2049 -W eth0 -o #!!!!!
ipfwadm -I -a deny -P udp -S $ANY 161 162 2049 -W eth0 -o
ipfwadm -O -a deny -P udp -D $ANY 161 162 2049 -W eth0 -o
### Freigaben ###
# Freigabe der unpriviligierten Ports
ipfwadm -I -a accept -P tcp -S $ANY 1024:65535
ipfwadm -O -a accept -P tcp -D $ANY 1024:65535
ipfwadm -I -a accept -P udp -S $ANY 1024:65535
ipfwadm -O -a accept -P udp -D $ANY 1024:65535
Es folgt noch ein "kleiner" Auschnitt von tcpdump auf eth0 (192.168.100.200)
10:57:03.934956 192.168.100.2.1135 > lxserver.inbitec.de.domain: 1+ (37)
10:57:03.934956 lxserver.inbitec.de.domain > 192.168.100.2.1135: 1* 1/1/1 (93)
10:57:03.944956 192.168.100.2.1136 > lxserver.inbitec.de.telnet: S
51659:51659(0) win 8192 <mss 1460> (DF) [tos 0x10]
10:57:03.944956 lxserver.inbitec.de.telnet > 192.168.100.2.1136: S
1153780634:1153780634(0) ack 51660 win 16368 <mss 1460>
10:57:03.944956 192.168.100.2.1136 > lxserver.inbitec.de.telnet: . ack 1 win
8760 (DF) [tos 0x10]
10:57:14.254956 lxserver.inbitec.de.telnet > 192.168.100.2.1136: P 1:4(3) ack 1
win 16368 (DF) [tos 0x10]
[...]
Alle Skripts in voller Länge sind zu beziehen unter mtrob at gmx.net und in Kürze
auch auf meinem Server zum kostenlosen Download bereitgestellt.
Mehr Informationen über die Mailingliste linux-l