67-es port & tűzfal-kérdések

 ( kl223 | 2005. július 19., kedd - 14:00 )

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Hali!

Már jó régóta figyelem a tűzfalam logjait, és érdekes dolgokat látok: folyamatosan küldözget nekem vki csomagokat, többszáz iet egy nap:

[code:1:d3d8e37651]IPTABLES DROPPED UDP-IN:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:90:27:a4:b0:e7:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=576 TOS=0x00 PREC=0x00 TTL=32 ID=26621 DF PROTO=UDP SPT=68 DPT=67 LEN=556[/code:1:d3d8e37651]

(a tűzfal loggolja az eldobott csomikat)
Mitől lehet ez? Utánanéztem, ez vmi "Bootstrap Protocol Server" alapértelmezett portja. (bár ez nem sokat jelent)

Mi lehet ez? Nincs belső hálóm itthon, szal még az se lehet, hogy vmelyik elkonfigolt gép okádná tele a hálót ienekkel. Wireless netet használok, ha ez számít vmit...

Más. Összeütöttem egy tűzfalat, és megnéztem egy egyszerű netes portszkennelővel. Az a fura, hogy - annak ellenére, hogy én 2-3 port kivételével minden másra DROP-ot állítottam be az iptables-ben - mindig van jónéhány olyan port, ami csak be van zárva, nem stealth.
De nem tudom, mitől...
Esetleg attól, hogy a tűzfalban a kimenő forgalmat egyáltalán nem korlátoztam?

kösz előre is a válaszokat...

kl223

[quote:11509557d5="kl223"]Hali!

Már jó régóta figyelem a tűzfalam logjait, és érdekes dolgokat látok: folyamatosan küldözget nekem vki csomagokat, többszáz iet egy nap:

[code:1:11509557d5]IPTABLES DROPPED UDP-IN:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:90:27:a4:b0:e7:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=576 TOS=0x00 PREC=0x00 TTL=32 ID=26621 DF PROTO=UDP SPT=68 DPT=67 LEN=556[/code:1:11509557d5]

(a tűzfal loggolja az eldobott csomikat)
Mitől lehet ez? Utánanéztem, ez vmi "Bootstrap Protocol Server" alapértelmezett portja. (bár ez nem sokat jelent)

Mi lehet ez? Nincs belső hálóm itthon, szal még az se lehet, hogy vmelyik elkonfigolt gép okádná tele a hálót ienekkel. Wireless netet használok, ha ez számít vmit...

Más. Összeütöttem egy tűzfalat, és megnéztem egy egyszerű netes portszkennelővel. Az a fura, hogy - annak ellenére, hogy én 2-3 port kivételével minden másra DROP-ot állítottam be az iptables-ben - mindig van jónéhány olyan port, ami csak be van zárva, nem stealth.
De nem tudom, mitől...
Esetleg attól, hogy a tűzfalban a kimenő forgalmat egyáltalán nem korlátoztam?

kösz előre is a válaszokat...

kl223[/quote:11509557d5]

Valalki ipcímet kér tőled, szerintem. Van felhúzott DHCP szervered?

az elso resz: valaki dhcp-n kereszul probal ip-t kerni toled.

masodik: nem igazan ertem a kerdest :)

Az jó, mert dhcp szerverem nincs...
viszont érdekes, mert ráakadtam erre az oldalra: http://216.239.59.104/search?q=cache:uETtTvyRtkQJ:seclists.org/lists/linux-kernel/2004/Jan/2501.html+LEN%3D576&hl=hu&client=firefox

Aholis olyanokat írnak, hogy ez vmi kernel-probléma? Csak annyi, hogy én az ott említett "eth0: TX underrun, threshold adjusted. "-üzenetet soha nem kapom meg.

kl223

[quote:81b3c12236="FoREE"]masodik: nem igazan ertem a kerdest :)[/quote:81b3c12236]

Akkor mondom másképp: miért van az, hogy van néhány port a gépemen, amit képtelen vagyok teljesen elrejteni egy portscan elől?

Ezen a portok egyébként nem mind állandóak, van néhány, ami minden egyes portscannál változik, van, ami többé-kevésbé állandó.
Most pl. a portscannál "csak" zártak többek közt a köv. portok: 113, 122, 133, 523, 557, és még sok más.... ez csak néhány volt, amikre véletlenszerűen ráböktem.
Pedig ezekre a portokra semmilyen speckó beállítás nincs az iptables scriptemben, pont ugyanaz vonatkozik rájuk, mint azokra a portokra, amik teljesen láthatatlanok, nem csak le vannak zárva...

kl223

SRC=0.0.0.0 DST=255.255.255.255 SPT=68 DPT=67

ebbol egyertelmu, hogy dhcp keres.

valoszinuleg egy alhalozaton vagy a tobbi userrel, es dhcp-n a tobbiek ugy kernek ip-t, hogy broadcastolnak a 67-es udp portra. Mivel egy halozati szegmensen vagy veluk ezert te is megkapod ezeket a csomagokat, es a tuzfalad szepen logolja is.

mivel nem uzemeltetsz dhcp servert ezert felesleges is ezek logolasa, ha zavar vedd ki. vagy megteheted azt, hogy a tuzfalad elejere beirod:
iptables -A INPUT -s wireless.ip.tarto.many/netmask - j DROP
es akkor azoknak a usereknek, akikkel kozos alhalon vagy, el lesz dobva az osszes feled kuldott csomagja.

[quote:de8e3f4cb9="FoREE"]SRC=0.0.0.0 DST=255.255.255.255 SPT=68 DPT=67

ebbol egyertelmu, hogy dhcp keres.

valoszinuleg egy alhalozaton vagy a tobbi userrel, es dhcp-n a tobbiek ugy kernek ip-t, hogy broadcastolnak a 67-es udp portra. Mivel egy halozati szegmensen vagy veluk ezert te is megkapod ezeket a csomagokat, es a tuzfalad szepen logolja is.

mivel nem uzemeltetsz dhcp servert ezert felesleges is ezek logolasa, ha zavar vedd ki. vagy megteheted azt, hogy a tuzfalad elejere beirod:
iptables -A INPUT -s wireless.ip.tarto.many/netmask - j DROP
es akkor azoknak a usereknek, akikkel kozos alhalon vagy, el lesz dobva az osszes feled kuldott csomagja.[/quote:de8e3f4cb9]

értem. thx. a másik kérdésre esetleg vmi ötlet?

kl223

[quote:3b783e2a8f]
értem. thx. a másik kérdésre esetleg vmi ötlet?

kl223[/quote:3b783e2a8f]

bemásolhatnád a csomiszűrőt beállító scriptet, meg megmondhatnád azt is, hogy milyen módszerrel scanneled a portokat és honnan...