iptables spezial-frage

14/12/2008 - 12:32 von Andreas Leitgeb | Report spam
Ich haette gerne folgende "spezial"-loesung:
- Alle hereinkommenden TCP "SYN"-pakete auf bestimmte Ports
Sollen mit ACK beantwortet werden
- Alle nicht-SYN pakete auf ebendiese Ports sollen
ohne Antwort gedroppt werden.
Die iptables manpage habe ich zwar versucht zu lesen, aber
die ueberfordert mich "ein wenig".
Ich nehme an, ich werde eine eigene Chain machen muessen, die
dann bei SYN... und da scheiterts auch schon, da ein ACCEPT
hier ja nur heisst, dass das paket erst mal weiterverarbeitet
wird, nicht dass es ohne Verarbeitung ge-ACK't wird.

Hintergrund dazu ist der Thread ueber die Attacken, die
so uebers Internet hereinkommen (dessen Troll-antwort
mehr Antworten getriggert hat als das OP), und mit
selbstgestrickten tcl-scripts habe ich festgestellt, dass,
wenn ich diese Verbindungsversuche zwar akzeptiere, und
dann auf Eis lege, die Angriffshaeufigkeit signifikant(!)
abnimmt.

PS: Die ftp-server, die auf diesen Angriffsrechnern gestartet
werden, ueberpruefen die Addresse des PORT kommandos nicht,
sodass man die virus.exe eines Angriffsrechners z.b. auf den
pseudo-ftp-port eines anderen Angreifers zielen koennte.
 

Lesen sie die antworten

#1 Alexander Bartolich
14/12/2008 - 16:23 | Warnen spam
Andreas Leitgeb schrieb:
Ich haette gerne folgende "spezial"-loesung:
- Alle hereinkommenden TCP "SYN"-pakete auf bestimmte Ports
Sollen mit ACK beantwortet werden
- Alle nicht-SYN pakete auf ebendiese Ports sollen
ohne Antwort gedroppt werden.



iptables -A INPUT -p tcp --dport "$dst" --syn -j ACCEPT
iptables -A INPUT -p tcp --dport "$dst" ! --syn -j DROP

Ich nehme an, ich werde eine eigene Chain machen muessen, die
dann bei SYN... und da scheiterts auch schon, da ein ACCEPT
hier ja nur heisst, dass das paket erst mal weiterverarbeitet
wird, nicht dass es ohne Verarbeitung ge-ACK't wird.



Was für Dinge stellst du dir unter "weiterverarbeitet" denn vor?

usingwhitespaceisracism

Ähnliche fragen