<![CDATA[iptables: Fragen eine Beginners]]>Hallo Forum,

ich habe diese Ausgangslage:
Ich habe einen Internetrouter vom Provider. Dieser Router liegt nur am Kabel mit der Addresse (eth0: 192.168.178.1/24). Einen zweiten Rechner (eth0: 192.168.178.2/24) möchte ich im gleichen Kabel als offenen WLan Access Point einrichten. Dieses Wlan (wlan0: 192.168.179.1/24) ist ungeschützt. Clients aus dem Wlan sollen ins Internet kommen, jedoch nicht aufs Lan zugreifen können. Ich benötige als Weiterleitungs- und Sperrregeln.

1. Was heißt Forwarding? Ein Rechner bekommt ein Paket an eth0 das nicht für ihn bestimmt ist, macht er dann eine Kopie des Paketes und schickt es an alle anderen Netzwerk Interfaces (wlan0, eth1)? Annahme iptables installiert, keine Regeln und Default Policies sind alle auf ACCEPT.

2. Warum haben fragmentierte Pakete keine Portangaben? Laut Ausführungen in iptables Manpage Option --fragment. Die Pakte müssen doch am Ziel richtig zusammengesetzt werden?

3. Warum kann ich diese Regel auf meinem Ubuntu System anwenden und auf meinem WlanAP System (OpenWRT) nicht? 'iptables -P OUTPUT DROP'. Also bei allen ausgehenden Paketen alles droppen was nicht ausdrücklich erlaubt ist. Ist doch unwahrscheinlich das ich dafür ein Modul installieren muß? Die Default Drop Regeln für FORWARD und INPUT wurde natürlich angenommen.

4. Der Rechner soll per ssh erreichbar sein. Innerhalb des Lans natürlich auf Port 22 wie gehabt. Vom Wlan aus möchte ich Port 22 droppen, dafür aber den Verkehr von Port 12345 auf Port 22 umleiten. (Portscanner scannen nur die unteren Ports in den Default Einstellungen.).
- Das Umleiten muß in PREROUTING stattfinden.
- Das Droppen kann nur in INPUT stattfinden.
- Problem: PREROUTING findet vor INPUT statt. (Wenn ich 12345 auf 22 umleite und dann 22 droppe kommt nichts an!)
Bisher ist mir nur diese Lösung eingefallen: In Prerouting die 22'er Pakete nach Port 9999 umleiten. Dann die 12345 Pakete auf Port 22 umsetzen. Dann in Tabelle INPUT alle Port 9999 Pakete droppen. Ist das der "normale" Lösungsweg? (funktionieren tut er jedenfalls.)

5. Wie bekommt nmap eigentlich heraus das ich einen Dropbear ssh Server in Version xyz benutze? Alte Dropbears haben ja so einige Sicherheitsschwachstellen. Ein Angreifer muß ja weder Version noch Produktname mitgeteilt werden. Die Vermutung liegt also nahe das diese Info nicht rausgepustet wird, sondern das namp so eine Heuristik anwendet. Genauso wie namp am TCP Verhalten und anderen Merkmalen herausbekommt welches OS läuft.

6. Wenn ich Port 80 und 443 für https freigebe sollte ich kein großes Risiko eingehen. Von Rapidshare Downloads geht denke ich kein großer Schaden aus. Wenn ich das mit der Uploadbeschränkung auf 10 KB/s hinkriege bin ich sicher. Gibt es vielelicht sonst was Interessantes was ich machen kann? Tips, Spielereien, ... Open Diskussion was man sonst noch so machen kann.

Vielen Dank

Mukkel

]]>https://www.c-plusplus.net/forum/topic/268547/iptables-fragen-eine-beginnersRSS for NodeTue, 28 Apr 2026 14:46:20 GMTThu, 10 Jun 2010 18:17:44 GMT60<![CDATA[Reply to iptables: Fragen eine Beginners on Thu, 10 Jun 2010 18:17:44 GMT]]>Hallo Forum,

ich habe diese Ausgangslage:
Ich habe einen Internetrouter vom Provider. Dieser Router liegt nur am Kabel mit der Addresse (eth0: 192.168.178.1/24). Einen zweiten Rechner (eth0: 192.168.178.2/24) möchte ich im gleichen Kabel als offenen WLan Access Point einrichten. Dieses Wlan (wlan0: 192.168.179.1/24) ist ungeschützt. Clients aus dem Wlan sollen ins Internet kommen, jedoch nicht aufs Lan zugreifen können. Ich benötige als Weiterleitungs- und Sperrregeln.

1. Was heißt Forwarding? Ein Rechner bekommt ein Paket an eth0 das nicht für ihn bestimmt ist, macht er dann eine Kopie des Paketes und schickt es an alle anderen Netzwerk Interfaces (wlan0, eth1)? Annahme iptables installiert, keine Regeln und Default Policies sind alle auf ACCEPT.

2. Warum haben fragmentierte Pakete keine Portangaben? Laut Ausführungen in iptables Manpage Option --fragment. Die Pakte müssen doch am Ziel richtig zusammengesetzt werden?

3. Warum kann ich diese Regel auf meinem Ubuntu System anwenden und auf meinem WlanAP System (OpenWRT) nicht? 'iptables -P OUTPUT DROP'. Also bei allen ausgehenden Paketen alles droppen was nicht ausdrücklich erlaubt ist. Ist doch unwahrscheinlich das ich dafür ein Modul installieren muß? Die Default Drop Regeln für FORWARD und INPUT wurde natürlich angenommen.

4. Der Rechner soll per ssh erreichbar sein. Innerhalb des Lans natürlich auf Port 22 wie gehabt. Vom Wlan aus möchte ich Port 22 droppen, dafür aber den Verkehr von Port 12345 auf Port 22 umleiten. (Portscanner scannen nur die unteren Ports in den Default Einstellungen.).
- Das Umleiten muß in PREROUTING stattfinden.
- Das Droppen kann nur in INPUT stattfinden.
- Problem: PREROUTING findet vor INPUT statt. (Wenn ich 12345 auf 22 umleite und dann 22 droppe kommt nichts an!)
Bisher ist mir nur diese Lösung eingefallen: In Prerouting die 22'er Pakete nach Port 9999 umleiten. Dann die 12345 Pakete auf Port 22 umsetzen. Dann in Tabelle INPUT alle Port 9999 Pakete droppen. Ist das der "normale" Lösungsweg? (funktionieren tut er jedenfalls.)

5. Wie bekommt nmap eigentlich heraus das ich einen Dropbear ssh Server in Version xyz benutze? Alte Dropbears haben ja so einige Sicherheitsschwachstellen. Ein Angreifer muß ja weder Version noch Produktname mitgeteilt werden. Die Vermutung liegt also nahe das diese Info nicht rausgepustet wird, sondern das namp so eine Heuristik anwendet. Genauso wie namp am TCP Verhalten und anderen Merkmalen herausbekommt welches OS läuft.

6. Wenn ich Port 80 und 443 für https freigebe sollte ich kein großes Risiko eingehen. Von Rapidshare Downloads geht denke ich kein großer Schaden aus. Wenn ich das mit der Uploadbeschränkung auf 10 KB/s hinkriege bin ich sicher. Gibt es vielelicht sonst was Interessantes was ich machen kann? Tips, Spielereien, ... Open Diskussion was man sonst noch so machen kann.

Vielen Dank

Mukkel

]]>https://www.c-plusplus.net/forum/post/1910249https://www.c-plusplus.net/forum/post/1910249Thu, 10 Jun 2010 18:17:44 GMT