Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

OS Linux

[Debian 3.0 (2.2.20)] @home + ipchains

[DarthV]
6 antwoorden
  • Ik heb een servertje met Debian Linux 3.0 (kernel 2.2.20). Ik run Samba, Apache, DHCPD en een SSH-server. Verder gebruik ik ip-masquerading mbv ipchains. Alles werkt perfect, alleen als ik /var/log/messages check (of als ik op de server zelf inlog, dus niet via SSH) zie ik bergen Packet Logs van ipchains. Sommige komen meerdere keren per minuut. Is dit erg (of juist goed omdat ipchains ze tegenhoudt)?

    Ik heb in mijn server 2 netwerkkaarten zitten: eth0 (lokale netwerk, 192.168.0.1/255.255.255.0) en eth1 (@home netwerkkaart)

    Dit is een script wat ik bij het booten laat uitvoeren:

    [size=9:9477218fc8]#!/bin/sh

    ANYWHERE=0.0.0.0/0
    EXT_IP=XXX.XXX.XXX.XXX (@home IP)

    # Block SSH from the internet
    /sbin/ipchains -A input -j REJECT -p tcp -d $EXT_IP 22
    /sbin/ipchains -A input -j REJECT -p udp -d $EXT_IP 22

    # Block Netbios
    /sbin/ipchains -A forward -j REJECT -p tcp -s $ANYWHERE -d $ANYWHERE 137
    /sbin/ipchains -A forward -j REJECT -p udp -s $ANYWHERE -d $ANYWHERE 137
    /sbin/ipchains -A forward -j REJECT -p tcp -s $ANYWHERE -d $ANYWHERE 138
    /sbin/ipchains -A forward -j REJECT -p udp -s $ANYWHERE -d $ANYWHERE 138
    /sbin/ipchains -A forward -j REJECT -p tcp -s $ANYWHERE -d $ANYWHERE 139
    /sbin/ipchains -A forward -j REJECT -p udp -s $ANYWHERE -d $ANYWHERE 139

    # Unreal Tournament Forwarding
    ipmasqadm autofw -A -r udp 7777 7777 -h 192.168.0.1 -v
    ipmasqadm autofw -A -r udp 7778 7778 -h 192.168.0.1 -v
    ipmasqadm autofw -A -r udp 7779 7779 -h 192.168.0.1 -v
    ipmasqadm autofw -A -r udp 27900 27900 -h 192.168.0.1 -v

    # IP-masquerading modules for FTP and MSN Messenger
    insmod ip_masq_ftp
    insmod -f ip_masq_mms
    [/size:9477218fc8]
    Zoals je kunt zien gebruik ik de standaard-instellingen van ipchains (die werken prima) met nog wat extra regeltjes voor SSH vanaf internet en Netbios.

    Zijn een paar meldingen uit /var/log/messages:

    [size=9:9477218fc8]Packet log: input DENY eth1 PROTO=17 192.168.0.1:2301 255.255.255.255:2301 L=40 S=0x00 I=43834 F=0x0000 T=128 (#6)
    Packet log: input DENY eth1 PROTO=17 217.121.180.38:513 217.121.181.255:513 L=112 S=0x00 I=0 F=0x4000 T=64 (#10)
    Packet log: input DENY eth1 PROTO=17 169.254.101.2:520 169.254.255.255:520 L=52 S=0x00 I=13 F=0x0000 T=128 (#10)
    [/size:9477218fc8]
    Vooral de eerste komt vaak voor (en de 2e ook wel).
    Met tracert (dos) blijkt uit de hostname van (volgens mij) alle 21*.*.*.* dat dit @home gebruikers zijn (uit mijn woonplaats / regio)

    Ook krijg ik zulke berichten:

    [size=9:9477218fc8]Packet log: input DENY eth1 PROTO=17 212.204.177.115:1028 212.204.177.255:39213 L=296 S=0x00 I=86 F=0x0000 T=128 (#10)
    Packet log: input DENY eth1 PROTO=17 212.204.177.115:1029 212.204.177.255:39213 L=852 S=0x00 I=87 F=0x0000 T=128 (#10)
    Packet log: input DENY eth1 PROTO=17 212.204.177.115:1030 212.204.177.255:39213 L=140 S=0x00 I=88 F=0x0000 T=128 (#10)
    Packet log: input DENY eth1 PROTO=17 212.204.177.115:1031 212.204.177.255:39213 L=296 S=0x00 I=89 F=0x0000 T=128 (#10)
    Packet log: input DENY eth1 PROTO=17 212.204.177.115:1032 212.204.177.255:39213 L=140 S=0x00 I=90 F=0x0000 T=128 (#10)
    Packet log: input DENY eth1 PROTO=17 212.204.177.115:1036 212.204.177.255:39213 L=852 S=0x00 I=95 F=0x0000 T=128 (#10)
    [/size:9477218fc8]
    Dit lijkt mij een portscan (toch?)
    Kan iemand mij iets vertellen over deze berichten of moet ik ze gewoon negeren…

    Bedankt,
    Robbert Klarenbeek
  • Oke even alles op een rijtje zetten:

    Belangrijk is dat je de poorten bekijkt welke in de logs voorkomen.

    Zo zie ik dat port 2301/UDP voorkomt. Dit betekent waarschijnlijk dat je een compaq computer hebt. Onderin de taakbalk van je windows machine staat het icoon van de compaq manager. Deze werkt via port 2301/UDP.

    De volgende geeft aan port 513/UDP. Aan PROTO=17 kun je zien dat dit het UDP protocol betreft. Poort 513/UDP is de who daemon.
    Dus waarschijnlijk heb je de who daemon op je systeem draaien.

    Vervolgens zie je poort 520/UDP voorbij komen. Poort 520/udp is route daemon verkeer (RIP). Dus je hebt een service route daemon lopen. Het adres dat daarbij gebruikt wordt is volgens mij het adres welke windows gebruikt wanneer er geen IP adres komt van een DHCP server.

    Uit rfc 3330:

    [quote:594715eb42]169.254.0.0/16 - This is the "link local" block. It is allocated for communication between hosts on a single link. Hosts obtain these addresses by auto-configuration, such as when a DHCP server may not be found.[/quote:594715eb42]

    Dus waarschijnlijk heb je een windows machine met daarop ipforwarding aan.

    De laatste grote entry in je logfile is poort 39213 verkeer. Dit is verkeer afkomstig van een sygate client programma. Deze stuurt namelijk om de x seconden een bericht naar het hele netwerk segment (.255 aan het einde) om op te vragen of er nog meer sygate managers in het netwerk zitten. Waarschijnlijk begint jou eigen ip ook met 212.204.177. Wat je dus eigenlijk ziet lekkend verkeer van een andere host in jou netwerk segment van je provider. Ditzelfde effect zie je ook vaak met pc anywhere die ook pakket broadcasts doet.

    Dus geen portscans in deze informatie.

    Ik zou eerst eens controleren welke services er lokaal op je linux machine draaien met het programma nmap en in je hele netwerk ook even scannen. Alle onnodige services moet je uitschakelen.
  • Nee, het klopt bijna allemaal niet wat je zei. Ik heb geen enkele Compaq pc en ik heb ook geen who-deamon draaien. Ik heb ook geen service route daemon lopen of een windows machine met daarop ipforwarding aan (allemaal gecheckt). Mijn DHCP-deamon zet ip-forwarding ook uit op de windows clients. Mijn eigen (@home) ip begint NIET met 212.204.177 dus dat klopt ook niet.

    Merk ook op dat al deze packets binnenkomen op eth1 (internet netwerkkaart) en niet op eth0. Dus 192.168.0.1:2301 komt niet van mijn lokale netwerk
  • Ik begrijp dat je kabel hebt? Voor zover ik weet zit je met kabel min of meer met je buren op hetzelfde netwerk. Het kan dus wel wat Darth V zegt, maar het zijn dus zaken die afkomstig zijn van de pc van je buren, maar waarschijnlijk dus vrij onschuldig.
  • [quote:3ede7751cf]Nee, het klopt bijna allemaal niet wat je zei.[/quote:3ede7751cf] :(

    Wat betreft de 192.168.0.1 regel in de log file KAN het toch een pc van je eigen netwerk zijn. Onder ipchains gaat namelijk een pakket eerst door de input chain dan de forward chain en daarna de output chain.

    Maar goed het is natuurlijk erg moeilijk om een antwoord te geven, want je firewall is verre van compleet. Die log entry's kunnen daar alleen maar komen als je dit specifiek aangeeft in je firewall script en die staan daar dus totaal niet bij. Verder zie ik in het script totaal geen verdeling van de verschillende netwerken en forward regels.

    Kortom erg vreemd allemaal.

    Inderdaad water onder kabel zit je in hetzelfde segment als een aantal anderen, vandaar ook mijn gok dat het adres overeenkomt met wat in de firewall staat. Maar goed ik vind het kabel netwerk zowiezo vreeemd opgebouwd.

    Anyway is dit het complete firewall script ? want dat kan ik me namelijk niet voorstellen.
  • Nee, zoals ik al zei zijn dit extra regels en gebruik ik het door Debian ingestelde standaard firewall script. Dit ziet er als volgt uit (dus zonder de extra regels, die trouwens met ipchains -I worden toegevoegd, zodat ze bovenaan komen te staan)

    [size=9:a87bb58247]Chain input (policy DENY):
    target prot opt source destination ports
    ACCEPT all —— anywhere anywhere n/a
    DENY all —-l- 127.0.0.0/8 anywhere n/a
    ACCEPT all —— anywhere 255.255.255.255 n/a
    ACCEPT all —— localnet/24 anywhere n/a
    ACCEPT !tcp —— anywhere BASE-ADDRESS.MCAST.NET/4 any -> any
    DENY all —-l- localnet/24 anywhere n/a
    ACCEPT all —— anywhere 255.255.255.255 n/a
    ACCEPT all —— anywhere cc60384-a.emmen1.dr.home.nl n/a
    ACCEPT all —— anywhere 212.204.183.255 n/a
    DENY all —-l- anywhere anywhere n/a
    Chain forward (policy DENY):
    target prot opt source destination ports
    MASQ all —— localnet/24 anywhere n/a
    DENY all —-l- anywhere anywhere n/a
    Chain output (policy DENY):
    target prot opt source destination ports
    ACCEPT all —— anywhere anywhere n/a
    ACCEPT all —— anywhere 255.255.255.255 n/a
    ACCEPT all —— anywhere localnet/24 n/a
    ACCEPT !tcp —— anywhere BASE-ADDRESS.MCAST.NET/4 any -> any
    DENY all —-l- anywhere localnet/24 n/a
    ACCEPT all —— anywhere 255.255.255.255 n/a
    ACCEPT all —— cc60384-a.emmen1.dr.home.nl anywhere n/a
    ACCEPT all —— 212.204.183.255 anywhere n/a
    DENY all —-l- anywhere anywhere n/a
    [/size:a87bb58247]

    ikzelf ben cc60384-a.emmen1.dr.home.nl

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.