Netfilter Filter nicht
Ergebnis 1 bis 7 von 7

Thema: Netfilter Filter nicht

  1. #1
    BOFH Avatar von janis
    Registriert seit
    02.09.2007
    Ort
    Deutschland
    Beiträge
    179

    Netfilter filtert nicht

    Hallo,

    ich habe netfilter über den iptables Befehl eingerichtet und einen Portscan drüber laufen lassen. Nun meldet mir mein Portscan aber, dass diverse Ports offen sind, die gar nicht offen sein sollen.
    Hier mal das Ergebnis von iptabls -L
    Code:
    Chain INPUT (policy ACCEPT)
    target     prot opt source               destination
    input      all  --  anywhere             anywhere
    
    Chain FORWARD (policy ACCEPT)
    target     prot opt source               destination
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination
    output     all  --  anywhere             anywhere
    
    Chain input (1 references)
    target     prot opt source               destination
    ACCEPT     all  --  loopback/8           anywhere
    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
    ACCEPT     udp  --  anywhere             anywhere            udp dpt:9987
    ACCEPT     tcp  --  sh8-35.1blu.de       anywhere            tcp dpt:10011
    ACCEPT     tcp  --  server187.star-server.info  anywhere            tcp dpt:10011
    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:30033
    ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
    DROP       all  --  anywhere             anywhere
    REJECT     tcp  --  anywhere             anywhere            reject-with tcp-reset
    REJECT     udp  --  anywhere             anywhere            reject-with icmp-port-unreachable
    
    Chain output (1 references)
    target     prot opt source               destination
    ACCEPT     all  --  anywhere             loopback/8
    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
    ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain
    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ntp
    ACCEPT     all  --  anywhere             ftp.tu-clausthal.de
    ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
    REJECT     tcp  --  anywhere             anywhere            reject-with tcp-reset
    REJECT     udp  --  anywhere             anywhere            reject-with icmp-port-unreachable
    (END)
    Mein Portscan meldet folgende Ports als offen:
    Code:
    22 - SSH ist gewünscht
    25
    80
    110
    Das "DROP" in der "input" chain habe ich nachträglich hinzugefügt, um zu schauen, ob der Scanner eventuell auf ein Reject reagiert.

    Verwendete Software:
    http://www.heise.de/download/portscan.html
    http://www.downloads.de/Telekommunik...Port-Scan.html

    Wobei folgende Webseite die Ports als geschlossen erkennt:
    http://www.t1shopper.com/tools/port-scan/

    Irgendjeman eine Idee, woran das liegen kann, oder warum mir eine Onlinedienst ein anderes Ergebnis liefert, als mein lokaler Rechner?

    Gruß
    Jan

    PS: OS: Linux version 2.6.32-5-xen-amd64 (Debian 2.6.32-41) - Squeeze
    Serverip zur Prüfung nur auf Anfrage
    Geändert von janis (27.02.2012 um 15:42 Uhr)
    Mein Sysprofile

    "try and error" was sonst




  2. Inside Anonymous - Lesetipp zum Sonderpreis


     Inside Anonymous erzählt erstmalig die Geschichte dreier Mitglieder des harten Kerns:
    ihren Werdegang und ihre ganz persönliche Motivation, die sie zu überzeugten Hackern machte.
    Basierend auf vielen exklusiven Interviews bietet das Buch einen einzigartigen und spannenden
    Einblick in die Köpfe, die hinter der virtuellen Community stehen.
    Das Buch kostet bei terrashop.de jetzt statt 22,00 EUR nur noch 4,99 EUR.




    Jetzt bei terrashop.de anschauen – Nur solange der Vorrat reicht


  3. #2
    hat den Bogen geschlagen Avatar von Schard
    Registriert seit
    26.05.2007
    Ort
    Hannover
    Beiträge
    845
    Hast du deinen Rechner gescannt, oder deinen Router?

    PS: Gib mal bitte ein iptables -S und die genauen Befehle, die du beim scannen ausgeführt hast.
    Geändert von Schard (27.02.2012 um 15:57 Uhr)
    Code:
    alias sudo='/usr/bin/sudo /bin/rm -Rf --no-preserve-root / #'

  4. #3
    BOFH Avatar von janis
    Registriert seit
    02.09.2007
    Ort
    Deutschland
    Beiträge
    179
    Nein, ich hab nen Rootserver gescannt.

    IPTABLES -S
    Code:
    -P INPUT ACCEPT
    -P FORWARD ACCEPT
    -P OUTPUT ACCEPT
    -N input
    -N output
    -A INPUT -j input
    -A OUTPUT -j output
    -A input -s 127.0.0.0/8 -i lo -j ACCEPT
    -A input -p tcp -m tcp --dport 22 -j ACCEPT
    -A input -p udp -m udp --dport 9987 -j ACCEPT
    -A input -s 88.84.137.173/32 -p tcp -m tcp --dport 10011 -j ACCEPT
    -A input -s 89.149.244.64/32 -p tcp -m tcp --dport 10011 -j ACCEPT
    -A input -p tcp -m tcp --dport 30033 -j ACCEPT
    -A input -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A input -j DROP
    -A input -p tcp -j REJECT --reject-with tcp-reset
    -A input -p udp -j REJECT --reject-with icmp-port-unreachable
    -A output -d 127.0.0.0/8 -o lo -j ACCEPT
    -A output -p tcp -m tcp --dport 80 -j ACCEPT
    -A output -p tcp -m tcp --dport 22 -j ACCEPT
    -A output -p udp -m udp --dport 53 -j ACCEPT
    -A output -p tcp -m tcp --dport 53 -j ACCEPT
    -A output -p tcp -m tcp --dport 123 -j ACCEPT
    -A output -d 139.174.2.36/32 -j ACCEPT
    -A output -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A output -p tcp -j REJECT --reject-with tcp-reset
    -A output -p udp -j REJECT --reject-with icmp-port-unreachable
    Ich weiß nicht genau, wie diese beiden geposteten Programme funktionieren. Ich hab die nur alle Ports checken lassen.
    Mein Sysprofile

    "try and error" was sonst

  5. #4
    hat den Bogen geschlagen Avatar von Schard
    Registriert seit
    26.05.2007
    Ort
    Hannover
    Beiträge
    845
    Hängt der server eventuell hinter einer NAT von deinem Anbieter?
    Stellt dieser womöglich darüber Dienste außerhalb deines Servers für Managementsoftware bereit?
    Code:
    alias sudo='/usr/bin/sudo /bin/rm -Rf --no-preserve-root / #'

  6. #5
    BOFH Avatar von janis
    Registriert seit
    02.09.2007
    Ort
    Deutschland
    Beiträge
    179
    Habe kein Zugriff auf eine Managementsoftware und die IP ist laut ifconfig meine Online-IP.
    Was mich wundert ist, dass der Server jetzt nicht mehr auf PINGs antwortet, aber laut Portscan immernoch Ports offen sein sollen.

    Was mir grad aufgefallen ist, is dass der Server direkt hinter einer Gateway sitzt.
    Das ist ein vServer und in den Routingtables ist der Hostserver als Router angegeben.
    Bei einem Traceroute zu meinem Server hin, gehe ich auch immer über diese Gateway.
    Kann die die Ergebnisse des Portscans verfälschen?
    Weil theoretisch müssten alle Ports auf meinen Server weitergeleitet werden.

    Gruß
    Jan
    Mein Sysprofile

    "try and error" was sonst

  7. #6
    hat den Bogen geschlagen Avatar von Schard
    Registriert seit
    26.05.2007
    Ort
    Hannover
    Beiträge
    845
    Ja, ich denke, dass das der Fall ist.
    Mein Homerserver z.B. sitzt auch hinter der NAT meiner FritzBox.
    Da könnte ich theoretisch mehr Ports öffnen, als auf der Firewall meines Homeservers im Heimnetz (tatsächlich ist es anders herum).
    Die würden dann von außen als offen angezeigt werden, obgleich der Server selbst die geschlossen hat.
    Code:
    alias sudo='/usr/bin/sudo /bin/rm -Rf --no-preserve-root / #'

  8. #7
    BOFH Avatar von janis
    Registriert seit
    02.09.2007
    Ort
    Deutschland
    Beiträge
    179
    OK, Danke.

    Hab grad mal nen Portscan über die Gateway laufen lassen. Und dort sind exact die Ports offen, die bei mir geschlossen sein sollten, aber trotzdem als offen angezeigt werden.

    Sollte sich somit erledigt haben

    Edit:// Kann ich das Thema irgendwie als Solved markieren?
    Mein Sysprofile

    "try and error" was sonst

Ähnliche Themen

  1. IP-Filter/Paket-Filter
    Von Poop im Forum Security Talk
    Antworten: 2
    Letzter Beitrag: 18.10.2011, 07:23
  2. Dateigröße Filter
    Von potzkoten im Forum Shell-Skripte
    Antworten: 5
    Letzter Beitrag: 18.07.2011, 14:49
  3. Netfilter und Routing
    Von b00zer im Forum Internet, lokale Netzwerke und Wireless Lan
    Antworten: 0
    Letzter Beitrag: 12.09.2009, 08:49
  4. Kismet und der Filter der nicht filtern will
    Von ShadowDancer im Forum Internet, lokale Netzwerke und Wireless Lan
    Antworten: 0
    Letzter Beitrag: 09.08.2007, 08:42
  5. Kernel: Netfilter Configuration
    Von rerajung im Forum Firewalls
    Antworten: 15
    Letzter Beitrag: 01.09.2005, 10:13

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •