linux-l: Re: IPCHAINS Problem
Robin S. Socha
robin at socha.net
Fr Aug 11 17:28:42 CEST 2000
* Thomas Knop <t.knop at isv-gmbh.de> writes:
> On, Fre, 11 Aug 2000, Markus.Wegerhoff at megamos.de wrote:
>> Die Frage ist nun folgende: In den Beispielskripten, die so kursieren
>> taucht immer eine IP Adresse für das externe Device (bei mit ippp0)
>> auf. Diese wird in meinem Fall jedoch dynamisch vergeben. Gibt es
>> irgendeine Variable o.ä. die die gerade aktuelle IP-Adresse entält,
>> so daß z.B. folgendes funktioniert?
> Lesen hier eigentlich so viele Leute sporadisch? Es ist nich lange her
> (6-10 Tage?) dass ich hier über solche Probleme berichtet habe. Du
> hast zwei Möglichkeiten:
> a) Dynamic IP-Patch aktivieren
> echo "7" > /proc/sys/net/ipv4/ip_dynaddr
Warum 7? <file:/usr/src/linux/Documentation/networking/ip_dynaddr.txt>?
> b) Firewall erst in ip-up/ip-down sripten aufsetzen / löschen.
> Lösung a) ist eleganter und läuft bei mir seit ewig prima.
Dito (irgendwie). Was ich noch sagen wollte... ;-) Ich würde auf dieser
Maschine, wenn sie länger am Netz ist, Dinge wie hostsentry, logcheck,
und portsentry laufen lassen. Portsentry macht bei mir z.B. folgendes:
1. Überwachung folgender ports:
TCP_PORTS="1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,6667,12345,12346,20034,31337,32771,32772,32773,32774,40421,49724,54320"
UDP_PORTS="1,7,9,69,161,162,513,635,640,641,700,32770,32771,32772,32773,32774,31337,54321"
2. Überwachung von stealth scans auf alle UDP und TCP ports unter 1023
(mit ein paar Ausnahmen).
3. Bei einem Angriff/Scan:
KILL_ROUTE="/sbin/route add -host $TARGET$ reject"
4. Frohe Ostern wünschen:
PORT_BANNER="** UNAUTHORIZED ACCESS PROHIBITED *** YOUR CONNECTION ATTEMPT HAS BEEN LOGGED. FUCX YOU, LUSER."
Obwohl das hier ein dial-up Rechner ist, füllt sich meine /hosts/deny
langsam aber stetig. So: do try this at home, kids - wirklich.
Bottom line: Intrusion Detection ist eine feine Sache. Lesenswert ist
auch noch <http://www.lids.org/> (damit Linux so sicher wird wie OpenBSD
es seit Jahren ist) und mort ist eine niedliche Erweiterung zu roottail
(ich habe hier 4 Quadrate mit jeweils /var/log/messages, maillog und
anderen logs von vier Rechnern auf dem Desktop.
P.S. <00081116483603.01277 at MiniMaus> MiniMaus ist ein FQDN?
--
Robin S. Socha <http://socha.net/>
Mehr Informationen über die Mailingliste linux-l