PINGs blocken

[Zico]

Hi

Also Netzwerktechnisch war ich nie so gut bewandt. Ich nutze IPTables um einen Windows Rechner ins Netz zu routen. Das Script is so aufgebaut, dass eigentlich alle vitalen Ports zu sind.
Nun würde ich es gern no so einrichten, dass PING Abfragen auf meinen Rechner komplett geblockt werden. Lediglich aber auch nur von aussen.
Kann mir jemand nen paar Ansätze geben? Jedesmal wenn ich mich irgendwo einlese verlier ich mich meist in fachchinesisch

 

[Havoc][]

iptables -A OUTPUT -p icmp --icmp-type echo-reply -o ppp0 -j DROP

Ist aber quatsch. NMAP merkt sowas sofort. Denn solltest du wirklich nicht erreichbar sein (welchen sinn sollte das sonst machen?) ist eh nachm letzten T-Online (oder welcher Provider auch immer) Knoten schluss . Destination not Reachable usw.

Havoc][

 

[manthano]

Du willst also alle Ports schließen, von deinem localhost möchtest du sie aber immer noch anpingen können - hab ich das richtig verstanden?

Probier mal das:

iptables -A INPUT ! -d 127.0.0.1 DROP

~edit~
Ups, hab die Frage nicht richtig gelesen, sorry.

 

[Zico]

111	offen	nfs
113	offen	ident
139	offen	netbios (Win/SAMBA)
6000	offen	Xwindow

<---- darum gehts
Prinzipiell hätt ich die gerne zu

EDIT:
Hab jetzt folgendes zu meinem Routingscript hinzugefügt. Alle ports, die nmap als offen anzeigt:

    iptables -A INPUT -i ppp0 -p tcp --dport 37 -j REJECT
    iptables -A INPUT -i ppp0 -p tcp --dport 53 -j REJECT
    iptables -A INPUT -i ppp0 -p tcp --dport 111 -j REJECT
    iptables -A INPUT -i ppp0 -p tcp --dport 113 -j REJECT
    iptables -A INPUT -i ppp0 -p tcp --dport 139 -j REJECT
    iptables -A INPUT -i ppp0 -p tcp --dport 445 -j REJECT
    iptables -A INPUT -i ppp0 -p tcp --dport 610 -j REJECT
    iptables -A INPUT -i ppp0 -p tcp --dport 618 -j REJECT
    iptables -A INPUT -i ppp0 -p tcp --dport 631 -j REJECT
    iptables -A INPUT -i ppp0 -p tcp --dport 698 -j REJECT
    iptables -A INPUT -i ppp0 -p tcp --dport 708 -j REJECT
    iptables -A INPUT -i ppp0 -p tcp --dport 716 -j REJECT
    iptables -A INPUT -i ppp0 -p tcp --dport 2049 -j REJECT
    iptables -A INPUT -i ppp0 -p tcp --dport 6000 -j REJECT

Hab mich ziemlich fix irgendwie durch die manpage durchgewurstelt. Is des nu so richtig? nmap zeigt sie ja immer noch als offen an (trotz meiner Provider IP), aber www.port-scan.de sagt filtered. Is des ok?

 

[chb]

Jo prinzipell schon, nur mit a bissl Mehraufwand kannst gleich ein Firewallscript nehmen.
http://muse.linuxmafia.org/gshield/ - das iss zb recht einfach zum installiern.

 

[khs]

Hab mich ziemlich fix irgendwie durch die manpage durchgewurstelt.

Das ist eine sehr gute Haltung, um eine sichere Firewall aufzusetzen.

Is des nu so richtig? nmap zeigt sie ja immer noch als offen an

Ja, da rejected einer Ablehnung gleichkopmmt. Dein Gegenueber weiss also sofort, dass du nicht mit ihm reden willst. Wuerdest du DROP sagen, waere das ziemlich unhoeflich, wuerde dir aber bei den ganzen wuesten Firewall-Online-Scannern ein Stealth/Hidden oder was die da immer anzeigen, einbringen.

Was haeltst du eigentlich davon, einfach nicht benoetigte Dienste zu schliessen? Was gibt es z.B. auf 610, 618 und 698, 708 und 716 so wichtiges, dass du es unbedingt laufen haben musst?

-khs

 

[Zico]

Was haeltst du eigentlich davon, einfach nicht benoetigte Dienste zu schliessen? Was gibt es z.B. auf 610, 618 und 698, 708 und 716 so wichtiges, dass du es unbedingt laufen haben musst?

Das hier:

685/tcp  open  unknown
695/tcp  open  unknown
703/tcp  open  unknown

Bis ich weiss was das is, blocke ich es. Ich weiss, dass ich von all dem NEtzwerktechnischen Kram nicht so dolle die Ahnung habe, aber irgendwie verunsichert mich dieses "unknown". Obwohl ich natürlich auch nicht weiss, ob diese Ports nur intern offen sind. Hab grad keinen anderen Onlinerechner zur Hand, von dem ich das von aussen checken kann.

 

[Cyber]

@Zico:
Nimm doch mal den Ethereal (gibbet auch für Windows) oder einen anderen sniffer und schau mal was so über die Ports läuft.

 

[blue]

man netstat
netstat -natp zeigt dir welches Programm sich gerade in welchem TCP Stati befindet.

Nun würde ich es gern no so einrichten, dass PING Abfragen auf meinen Rechner komplett geblockt werden.

Was willst du damit bezwecken?
Das wird eher Probleme verursachen, als dass der Sicherheit deines Netzwerks förderlich ist.

blue

 

[Gronau]

Man kann auch pings, broadcasts, etc. blocken indem man /proc/sys/net/ipv4/icmp_echo_ignore_all und andere dateien in dem verzeichnis auf 1 setzt. In /proc/sys/net/ipv[4/6]/conf/<interface> geht das auch für einzelne nics.
Gegen sniffer die auf tcp arbeiten (nmap, ethereal, etc.) bist du dagen nicht sicher weil die methode oben nur bei icmp wirksam ist.

 

[Havoc][]

Gegen sniffer die auf tcp arbeiten (nmap, ethereal, etc.) bist du dagen nicht sicher weil die methode oben nur bei icmp wirksam ist.

Äh?
Also. ICMP ist das Internet Control Message Protocol. Darüber bist du dir im klaren, oder? Sollte nun bei einer IP Verbindung ein Fehler auftreten, sendet das ICMP die Fehlermeldung aus (TCP und UDP wäre ja ziemlich Overhead s. Header - Ausserdem könnten sich s.g. Schleifen bilden).

Was ich allerdings schon in meinem Post zu anfang gesagt habe, ist das sowieso nach dem letzten HOP eine ICMP Fehlermeldung generiert wird wenn dein Rechner wirklich (!) nicht erreichbar ist (T3 - Destination Unreachable). Wenn dein Rechner erreichbar ist, ist natürlich auch nicht nach dem letzten HOP schluss. Das weiss NMAP. Weils logisch is =).

Die Antwort mit NMAP, TCP und ICMP von dir ist also leider nicht so ganz richtig.

Noch eins: NMAP ist kein Sniffer sondern ein Portscanner und er arbeitet nicht auf TCP (UDP Ports kannst du damit auch scannen).

Havoc][