| View previous topic :: View next topic |
| Author |
Message |
Andréas
Tux's lil' helper
Joined: 27 Jun 2002
Posts: 75
Location: Delfzijl - Netherlands
|
 Posted: Sun Feb 09, 2003 1:51 pm Post subject: Ping en Traceroute blokkeren |
 |
|
Ik heb hier op Google al op gezocht, maar kan er niet of niet veel over vinden. Weet iemand een regeltje welke ik kan toevoegen aan mijn firewall (die van netlinux) zodat ik pings en traceroutes kan blokkeren?
Thanks
_________________
Er gaat niets boven Gentoo  |
|
| Back to top |
|
 |
Supox
n00b
Joined: 04 Aug 2002
Posts: 63
Location: Netherlands
|
| Posted: Sun Feb 09, 2003 7:43 pm Post subject: |
|
|
| volgens mij moet je niet je firewall hiervoor instellen, maar moet je dit via de /proc/net/ipv4/ doen. Zie hiervoor trouwens de gentoo security guide van http://www.gentoo.org onder de docs-categorie. |
|
| Back to top |
|
|
Zu`
l33t
Joined: 26 May 2002
Posts: 716
Location: BE
|
| Posted: Sun Feb 09, 2003 7:44 pm Post subject: |
|
|
De Gentoo Security Guide zal je al iet of wat opweg helpen om die ping pakketjes te blocken.
Voor die traceroute weet'k 't zelf niet direct.
http://www.gentoo.org/doc/nl/gentoo-security.xml#doc_chap6
_________________
No growth without resistance.
No action without reaction.
No desire without restraint. |
|
| Back to top |
|
|
water
Guru
Joined: 19 Jun 2002
Posts: 387
Location: Zierikzee, The Netherlands
|
| Posted: Mon Feb 10, 2003 7:19 am Post subject: |
|
|
Als ik hier kijk, dan zie ik vier regels om in- en uitgaande ping en traceroute te accepteren (ACCEPT). Vervang ACCEPT door DROP en het is geregeld.
Als je deze regels al in je firewall hebt staan, betekent dat je dat expliciet toelaat. Een hekje voor de desbtreffende regels is dan waarschijnlijk al voldoende om het niet meer toe te staan.
_________________
Groeten uit Holland |
|
| Back to top |
|
|
Andréas
Tux's lil' helper
Joined: 27 Jun 2002
Posts: 75
Location: Delfzijl - Netherlands
|
| Posted: Mon Feb 10, 2003 5:11 pm Post subject: Werkt niet |
|
|
Ik heb het uitgevoerd om uit te proberen. Echter het werkt dus niet 
Heb er DROP van gemaakt en met en zonder limit gewerkt
Geen van allen werkt
Hier een lijst van de icmp pakketten die worden goegestaan door mijn firewall.
| Quote: |
##########################################
# accepteer bepaalde ICMP pakketten
## Een aantal typen ICMP pakketten accepteren
$IPTABLES -A INPUT -i $EXTERNAL_INTERFACE -p icmp \
--icmp-type 0 -s $ANYWHERE \
-m limit --limit 2/s -j ACCEPT
$IPTABLES -A INPUT -i $EXTERNAL_INTERFACE -p icmp \
--icmp-type 3 -s $ANYWHERE \
-m limit --limit 2/s -j ACCEPT
$IPTABLES -A INPUT -i $EXTERNAL_INTERFACE -p icmp \
--icmp-type 5 -s $ANYWHERE \
-m limit --limit 2/s -j ACCEPT
$IPTABLES -A INPUT -i $EXTERNAL_INTERFACE -p icmp \
--icmp-type 8 -s $ANYWHERE \
-m limit --limit 2/s -j ACCEPT
$IPTABLES -A INPUT -i $EXTERNAL_INTERFACE -p icmp \
--icmp-type 11 -s $ANYWHERE \
-m limit --limit 10/s -j ACCEPT
$IPTABLES -A OUTPUT -o $EXTERNAL_INTERFACE -p icmp \
--icmp-type 3 -d $ANYWHERE \
-m limit --limit 2/s -j ACCEPT
$IPTABLES -A OUTPUT -o $EXTERNAL_INTERFACE -p icmp \
--icmp-type 8 -d $ANYWHERE \
-m limit --limit 2/s -j ACCEPT
$IPTABLES -A OUTPUT -o $EXTERNAL_INTERFACE -p icmp \
--icmp-type 0 -d $ANYWHERE \
-m limit --limit 2/s -j ACCEPT
$IPTABLES -A OUTPUT -o $EXTERNAL_INTERFACE -p icmp \
--icmp-type 11 -d $ANYWHERE \
-m limit --limit 10/s -j ACCEPT
|
_________________
Er gaat niets boven Gentoo |
|
| Back to top |
|
|
Matje
l33t
Joined: 29 Oct 2002
Posts: 619
Location: Hasselt, Belgium
|
| Posted: Tue Feb 11, 2003 10:30 am Post subject: |
|
|
Jij laat er 2 per seconde toe. Als je echt alles wilt blokkeren doe je:
| Code: | | $IPTABLES -A INPUT -i $EXTERNAL_INTERFACE -p icmp -j DROP |
Traceroute zal dan ook niet meer werken. Allè, het zal werken tot de bak voor jou, en jouw server zal niet meer reageren, omdat traceroute ook gewoon een toepassing van pingen is, maar er wordt met de TTL gespeeld.
_________________
Life is like a box of chocolates... Before you know it, it's empty... |
|
| Back to top |
|
|
Andréas
Tux's lil' helper
Joined: 27 Jun 2002
Posts: 75
Location: Delfzijl - Netherlands
|
| Posted: Wed Feb 12, 2003 8:09 am Post subject: |
|
|
Ik kan niet eens opmaken uit die typenummers welke voor het pingen is. Ik kan de code wel uitvoeren, maar volgens mij moet ik deze regels bovenaan het firewall script dumpen en de regels voor pingen 2/s weg halen.
Welke regel geeft die limit voor pingen aan?
_________________
Er gaat niets boven Gentoo |
|
| Back to top |
|
|
water
Guru
Joined: 19 Jun 2002
Posts: 387
Location: Zierikzee, The Netherlands
|
| Posted: Wed Feb 12, 2003 10:36 am Post subject: |
|
|
Ik weet niet wanneer jij je firewall gebouwd hebt, maar als ik kijk bij de link die ik in mijn vorige post gaf, dan staat één en ander vrij helder uitgelegd. Nu wordt die uitleg van firewalls bij Nedlinux regelmatig geupdate, dus misschien dat daar het verschil zit.
Even een flinke hap:
| Code: |
#Ping naar externe host
iptables --table filter -A OUTPUT -o ppp0 -p icmp \
--icmp-type echo-request -j ACCEPT
iptables --table filter -A INPUT -i ppp0 -p icmp \
--icmp-type echo-reply -j ACCEPT
#Host gelimiteerd 'pingable' maken voor buitenwereld.
iptables --table filter -A INPUT -i ppp0 -p icmp \
--icmp-type echo-request -m limit \
--limit 5/minute --limit-burst 10 -j ACCEPT
iptables --table filter -A OUTPUT -o ppp0 -p icmp \
--icmp-type echo-reply -j ACCEPT
#Uitgaande traceroute
iptables --table filter -A OUTPUT -o ppp0 -p udp \
--source-port 32769:65535 --destination-port 33434:33523 -j ACCEPT
iptables --table filter -A INPUT -i ppp0 -p icmp \
--icmp-type destination-unreachable -j ACCEPT
iptables --table filter -A INPUT -i ppp0 -p icmp \
--icmp-type port-unreachable -j ACCEPT
iptables --table filter -A INPUT -i ppp0 -p icmp \
--icmp-type time-exceed -j ACCEPT
#Inkomende traceroute
iptables --table filter -A INPUT -i ppp0 -p udp \
--source-port 32769:65535 --destination-port 33434:33523 -j ACCEPT
iptables --table filter -A INPUT -i ppp0 -p icmp \
--icmp-type destination-unreachable -j ACCEPT
|
Als je overal ACCEPT vervangt door DROP is pingen en traceroute niet meer mogelijk. Let wel, mogelijk staan er al soortgelijke regels in je firewall. Als deze regels na die regels komen, zullen deze regels niet werken. Dus zet ze bovenaan en het werkt. Nu staat er op de site nog wel een opmerking dat uitgaande traceroute soms niet werkt. Verder zul je misschien ppp0 moeten vervangen voor eth0, of zo.
_________________
Groeten uit Holland |
|
| Back to top |
|
|
Andréas
Tux's lil' helper
Joined: 27 Jun 2002
Posts: 75
Location: Delfzijl - Netherlands
|
| Posted: Wed Feb 12, 2003 3:57 pm Post subject: |
|
|
Als ik het goed bekijk kijk je naar de voorbeelden. Ik heb daarentegen het 'relatief veilige' script. Hierin wordt met codes gewerkt zoals ik hierboven al aan gaf. Mijn vraag nu is welke icmp codes moet ik weg halen? 
_________________
Er gaat niets boven Gentoo |
|
| Back to top |
|
|
water
Guru
Joined: 19 Jun 2002
Posts: 387
Location: Zierikzee, The Netherlands
|
| Posted: Thu Feb 13, 2003 8:03 am Post subject: |
|
|
Misschien helpt dit?
_________________
Groeten uit Holland |
|
| Back to top |
|
|
|
Dutch
