linux-l: Re: IPCHAINS Problem

Robin S. Socha robin at socha.net
Fr Aug 11 17:28:42 CEST 2000 

* Thomas Knop <t.knop at isv-gmbh.de> writes:
> On, Fre, 11 Aug 2000, Markus.Wegerhoff at megamos.de wrote:

>> Die Frage ist nun folgende: In den Beispielskripten, die so kursieren
>> taucht immer eine IP Adresse für das externe Device (bei mit ippp0)
>> auf.  Diese wird in meinem Fall jedoch dynamisch vergeben. Gibt es
>> irgendeine Variable o.ä. die die gerade aktuelle IP-Adresse entält,
>> so daß z.B.  folgendes funktioniert?

> Lesen hier eigentlich so viele Leute sporadisch? Es ist nich lange her
> (6-10 Tage?) dass ich hier über solche Probleme berichtet habe. Du
> hast zwei Möglichkeiten:
> a) Dynamic IP-Patch aktivieren
>    echo "7" > /proc/sys/net/ipv4/ip_dynaddr

Warum 7? <file:/usr/src/linux/Documentation/networking/ip_dynaddr.txt>?

> b) Firewall erst in ip-up/ip-down sripten aufsetzen / löschen.
> Lösung a) ist eleganter und läuft bei mir seit ewig prima.

Dito (irgendwie). Was ich noch sagen wollte... ;-) Ich würde auf dieser
Maschine, wenn sie länger am Netz ist, Dinge wie hostsentry, logcheck,
und portsentry laufen lassen. Portsentry macht bei mir z.B. folgendes:

1. Überwachung folgender ports:
TCP_PORTS="1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,6667,12345,12346,20034,31337,32771,32772,32773,32774,40421,49724,54320"
UDP_PORTS="1,7,9,69,161,162,513,635,640,641,700,32770,32771,32772,32773,32774,31337,54321"

2. Überwachung von stealth scans auf alle UDP und TCP ports unter 1023
   (mit ein paar Ausnahmen).

3. Bei einem Angriff/Scan:
KILL_ROUTE="/sbin/route add -host $TARGET$ reject"

4. Frohe Ostern wünschen:
PORT_BANNER="** UNAUTHORIZED ACCESS PROHIBITED *** YOUR CONNECTION ATTEMPT HAS BEEN LOGGED. FUCX YOU, LUSER."

Obwohl das hier ein dial-up Rechner ist, füllt sich meine /hosts/deny
langsam aber stetig. So: do try this at home, kids - wirklich.

Bottom line: Intrusion Detection ist eine feine Sache. Lesenswert ist
auch noch <http://www.lids.org/> (damit Linux so sicher wird wie OpenBSD
es seit Jahren ist) und mort ist eine niedliche Erweiterung zu roottail
(ich habe hier 4 Quadrate mit jeweils /var/log/messages, maillog und
anderen logs von vier Rechnern auf dem Desktop.

P.S. <00081116483603.01277 at MiniMaus> MiniMaus ist ein FQDN?
-- 
Robin S. Socha <http://socha.net/>

Mehr Informationen über die Mailingliste linux-l