Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Ping en Traceroute blokkeren
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index Dutch
View previous topic :: View next topic  
Author Message
Andréas
Tux's lil' helper
Tux's lil' helper


Joined: 27 Jun 2002
Posts: 75
Location: Delfzijl - Netherlands

PostPosted: Sun Feb 09, 2003 1:51 pm    Post subject: Ping en Traceroute blokkeren Reply with quote

Ik heb hier op Google al op gezocht, maar kan er niet of niet veel over vinden. Weet iemand een regeltje welke ik kan toevoegen aan mijn firewall (die van netlinux) zodat ik pings en traceroutes kan blokkeren?

Thanks
_________________
Er gaat niets boven Gentoo :)
Back to top
View user's profile Send private message
Supox
n00b
n00b


Joined: 04 Aug 2002
Posts: 63
Location: Netherlands

PostPosted: Sun Feb 09, 2003 7:43 pm    Post subject: Reply with quote

volgens mij moet je niet je firewall hiervoor instellen, maar moet je dit via de /proc/net/ipv4/ doen. Zie hiervoor trouwens de gentoo security guide van http://www.gentoo.org onder de docs-categorie.
Back to top
View user's profile Send private message
Zu`
l33t
l33t


Joined: 26 May 2002
Posts: 716
Location: BE

PostPosted: Sun Feb 09, 2003 7:44 pm    Post subject: Reply with quote

De Gentoo Security Guide zal je al iet of wat opweg helpen om die ping pakketjes te blocken.

Voor die traceroute weet'k 't zelf niet direct.

http://www.gentoo.org/doc/nl/gentoo-security.xml#doc_chap6
_________________
No growth without resistance.
No action without reaction.
No desire without restraint.
Back to top
View user's profile Send private message
water
Guru
Guru


Joined: 19 Jun 2002
Posts: 387
Location: Zierikzee, The Netherlands

PostPosted: Mon Feb 10, 2003 7:19 am    Post subject: Reply with quote

Als ik hier kijk, dan zie ik vier regels om in- en uitgaande ping en traceroute te accepteren (ACCEPT). Vervang ACCEPT door DROP en het is geregeld.

Als je deze regels al in je firewall hebt staan, betekent dat je dat expliciet toelaat. Een hekje voor de desbtreffende regels is dan waarschijnlijk al voldoende om het niet meer toe te staan.
_________________
Groeten uit Holland
Back to top
View user's profile Send private message
Andréas
Tux's lil' helper
Tux's lil' helper


Joined: 27 Jun 2002
Posts: 75
Location: Delfzijl - Netherlands

PostPosted: Mon Feb 10, 2003 5:11 pm    Post subject: Werkt niet Reply with quote

Ik heb het uitgevoerd om uit te proberen. Echter het werkt dus niet :(
Heb er DROP van gemaakt en met en zonder limit gewerkt

Geen van allen werkt :(

Hier een lijst van de icmp pakketten die worden goegestaan door mijn firewall.
Quote:

##########################################
# accepteer bepaalde ICMP pakketten

## Een aantal typen ICMP pakketten accepteren
$IPTABLES -A INPUT -i $EXTERNAL_INTERFACE -p icmp \
--icmp-type 0 -s $ANYWHERE \
-m limit --limit 2/s -j ACCEPT

$IPTABLES -A INPUT -i $EXTERNAL_INTERFACE -p icmp \
--icmp-type 3 -s $ANYWHERE \
-m limit --limit 2/s -j ACCEPT

$IPTABLES -A INPUT -i $EXTERNAL_INTERFACE -p icmp \
--icmp-type 5 -s $ANYWHERE \
-m limit --limit 2/s -j ACCEPT

$IPTABLES -A INPUT -i $EXTERNAL_INTERFACE -p icmp \
--icmp-type 8 -s $ANYWHERE \
-m limit --limit 2/s -j ACCEPT

$IPTABLES -A INPUT -i $EXTERNAL_INTERFACE -p icmp \
--icmp-type 11 -s $ANYWHERE \
-m limit --limit 10/s -j ACCEPT


$IPTABLES -A OUTPUT -o $EXTERNAL_INTERFACE -p icmp \
--icmp-type 3 -d $ANYWHERE \
-m limit --limit 2/s -j ACCEPT

$IPTABLES -A OUTPUT -o $EXTERNAL_INTERFACE -p icmp \
--icmp-type 8 -d $ANYWHERE \
-m limit --limit 2/s -j ACCEPT

$IPTABLES -A OUTPUT -o $EXTERNAL_INTERFACE -p icmp \
--icmp-type 0 -d $ANYWHERE \
-m limit --limit 2/s -j ACCEPT

$IPTABLES -A OUTPUT -o $EXTERNAL_INTERFACE -p icmp \
--icmp-type 11 -d $ANYWHERE \
-m limit --limit 10/s -j ACCEPT

_________________
Er gaat niets boven Gentoo :)
Back to top
View user's profile Send private message
Matje
l33t
l33t


Joined: 29 Oct 2002
Posts: 617
Location: Hasselt, Belgium

PostPosted: Tue Feb 11, 2003 10:30 am    Post subject: Reply with quote

Jij laat er 2 per seconde toe. Als je echt alles wilt blokkeren doe je:
Code:
$IPTABLES -A INPUT -i $EXTERNAL_INTERFACE -p icmp -j DROP

Traceroute zal dan ook niet meer werken. Allè, het zal werken tot de bak voor jou, en jouw server zal niet meer reageren, omdat traceroute ook gewoon een toepassing van pingen is, maar er wordt met de TTL gespeeld.
_________________
Life is like a box of chocolates... Before you know it, it's empty...
Back to top
View user's profile Send private message
Andréas
Tux's lil' helper
Tux's lil' helper


Joined: 27 Jun 2002
Posts: 75
Location: Delfzijl - Netherlands

PostPosted: Wed Feb 12, 2003 8:09 am    Post subject: Reply with quote

Ik kan niet eens opmaken uit die typenummers welke voor het pingen is. Ik kan de code wel uitvoeren, maar volgens mij moet ik deze regels bovenaan het firewall script dumpen en de regels voor pingen 2/s weg halen.

Welke regel geeft die limit voor pingen aan?
_________________
Er gaat niets boven Gentoo :)
Back to top
View user's profile Send private message
water
Guru
Guru


Joined: 19 Jun 2002
Posts: 387
Location: Zierikzee, The Netherlands

PostPosted: Wed Feb 12, 2003 10:36 am    Post subject: Reply with quote

Ik weet niet wanneer jij je firewall gebouwd hebt, maar als ik kijk bij de link die ik in mijn vorige post gaf, dan staat één en ander vrij helder uitgelegd. Nu wordt die uitleg van firewalls bij Nedlinux regelmatig geupdate, dus misschien dat daar het verschil zit.

Even een flinke hap:
Code:

#Ping naar externe host

iptables  --table filter  -A OUTPUT  -o ppp0  -p icmp \
          --icmp-type echo-request  -j ACCEPT

iptables  --table filter  -A INPUT  -i ppp0  -p icmp \
          --icmp-type echo-reply  -j ACCEPT

#Host gelimiteerd 'pingable' maken voor buitenwereld.

iptables  --table filter  -A INPUT  -i ppp0  -p icmp \
          --icmp-type echo-request  -m limit \
          --limit 5/minute  --limit-burst 10  -j ACCEPT

iptables  --table filter  -A OUTPUT  -o ppp0  -p icmp \
          --icmp-type echo-reply  -j ACCEPT

#Uitgaande traceroute

iptables  --table filter  -A OUTPUT  -o ppp0  -p udp \
          --source-port 32769:65535  --destination-port 33434:33523  -j ACCEPT

iptables  --table filter  -A INPUT  -i ppp0  -p icmp \
          --icmp-type destination-unreachable  -j ACCEPT

iptables  --table filter  -A INPUT  -i ppp0  -p icmp \
          --icmp-type port-unreachable  -j ACCEPT

iptables  --table filter  -A INPUT  -i ppp0  -p icmp \
          --icmp-type time-exceed  -j ACCEPT

#Inkomende traceroute

iptables  --table filter  -A INPUT  -i ppp0  -p udp \
          --source-port 32769:65535 --destination-port 33434:33523  -j ACCEPT

iptables  --table filter  -A INPUT  -i ppp0  -p icmp \
          --icmp-type destination-unreachable  -j ACCEPT

Als je overal ACCEPT vervangt door DROP is pingen en traceroute niet meer mogelijk. Let wel, mogelijk staan er al soortgelijke regels in je firewall. Als deze regels na die regels komen, zullen deze regels niet werken. Dus zet ze bovenaan en het werkt. Nu staat er op de site nog wel een opmerking dat uitgaande traceroute soms niet werkt. Verder zul je misschien ppp0 moeten vervangen voor eth0, of zo.
_________________
Groeten uit Holland
Back to top
View user's profile Send private message
Andréas
Tux's lil' helper
Tux's lil' helper


Joined: 27 Jun 2002
Posts: 75
Location: Delfzijl - Netherlands

PostPosted: Wed Feb 12, 2003 3:57 pm    Post subject: Reply with quote

Als ik het goed bekijk kijk je naar de voorbeelden. Ik heb daarentegen het 'relatief veilige' script. Hierin wordt met codes gewerkt zoals ik hierboven al aan gaf. Mijn vraag nu is welke icmp codes moet ik weg halen? :?:
_________________
Er gaat niets boven Gentoo :)
Back to top
View user's profile Send private message
water
Guru
Guru


Joined: 19 Jun 2002
Posts: 387
Location: Zierikzee, The Netherlands

PostPosted: Thu Feb 13, 2003 8:03 am    Post subject: Reply with quote

Misschien helpt dit?
_________________
Groeten uit Holland
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Dutch All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum