stateful firewall issues (Was Re: Think Simple!)

Sat Sep 2 23:16:55 EEST 2006

Giorgos Keramidas wrote:

> 
>>>>>>>8) Επιτρέπεις έτσι απλά και ανενδοίαστα όλα τα incoming connections για
>>>>>>>ports από 1024 και άνω.  ΑΥΤΟ ΔΕΝ ΕΙΝΑΙ ΚΑΛΗ ΙΔΕΑ!  Υπάρχουν περίπου
>>>>>>>64.510 διαφορετικοί λόγοι γιατί αυτό είναι βλακεία, αλλά θα σε αφήσω
>>>>>>>να τους ανακαλύψεις ξεχωριστά τον καθένα, καθώς θα στήνεις νέα
>>>>>>>services στο μηχάνημά σου.
>>>>>>
>>φυσικο δεν ειναι στην OUTPUT ο χρηστης να μπορει να ξεκινησει ενα ftp
>>client στην 21 (και να περιμενει πακετο στην INPUT απο τον server σε
>>port > 1024 )
> 
> 
> Οχι.  Φυσικό είναι να μη μπορεί να συνδεθεί σε *ΚΑΝΕΝΑ* port αν δεν
> υπάρχει καλός λόγος.  Γι αυτό υπάρχουν τρόποι να "ανοίξεις" μόνο όσα
> ports >=1024 είναι πραγματικά σε χρήση από κάποιο FTP session.
> 
> Για περισσότερα, ψάξε για "ftp helper iptable module" στο Google.
> 
ip_conntrack_ftp υπαρχει , και ip_conntrack_irc

ip_conntrack_www
ip_conntrack_pop3
ip_conntrack_smtp

δεν βρηκα σε patch-o-matic

> 
>>επικρινεις το γεγονος οτι υπαρχουν 64.510 ports ανοιχτα αλλα δεν
>>"βλεπεις" οτι υπαρχει state checking μεταξυ INPUT και OUTPUT, γιατι να
>>το εβλεπες και να μου λεγες "βλακεια ειναι γιατι...." παει καλα, το
>>αγνοεις εντελως και μιλας για 1000 περιφερειακα θεματα
> 
> 
> Δεν το αγνοώ εντελώς.  Απλά εξακολουθεί να είναι λάθος, παρόλο που έχεις
> state checking.  Το state checking *δεν* λύνει το πρόβλημα ότι έχεις
> ορθάνοιχτα όλα τα ports από 1024 και πάνω.
> 
> 

o remote www server ακουει στην 80 ελα ομως που απανταει
σε οποια πορτα θελει ( >= 1024) , περιοριζεται
αυτο ?

>>απο ολο το setup αφησα 3 γραμμες, αντε να δουμε αν θα δεις αυτο το
>>αγιο ESTABLISHED,RELATED
> 
> 
> Τα 'ESTABLISHED,RELATED' εγώ τα βλέπω.  Το --dport 1024: ακόμα να το
> δεις εσύ;
> 
> 

modprobe ip_conntrack_ftp

#reset iptables
iptables -F
iptables -X
iptables -Z

#all policies set to DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

#send requests to servers
iptables -A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED,RELATED -s 
$PPP_LOCAL -j ACCEPT

#accept responses from the servers
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -p tcp -d 
$PPP_LOCAL --dport 1024: -m multiport --sports 80,110,25,21,20 -j ACCEPT

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -p udp -d 
$PPP_LOCAL --dport 1024: -m multiport --sports 80,110,53 -j ACCEPT

πως γινεται να αλλαξεις τα παραπανω ωστε ο χρηστης
να βλεπει οποιον www, ftp, pop3 ,  smtp server θελει
(οι οποιοι απαντουν σε random unprivileged ports στην
πλευρα του client) και να εχεις κλειστα τα ports >=1024

netstat -an =   client:56706 --- > server:www

σου αναφερω για το web γιατι αυτο ειναι το βασικο
προβλημα εφοσον δεν γνωριζουμε ποιο url Θα δωσει
ο χρηστης αρα δεν εχουμε ουτε το ip του server
ουτε σε ποιο port Θα μας απαντησει

(για mail και ftp ειναι πιο "περιορισμενα" τα
πραγματα και μπορουμε να πουμε αφησε μονο τον
πχ. mail.otenet.gr να περασει)

μαλλον σε μπερδεψα σε ενα σημειο, το μηχανημα
ΔΕΝ θα τρεχει services , ειναι user/client pc μονο
για web, ftp και mail access

γιωργος

____________________________________________________________________
http://www.freemail.gr - δωρεάν υπηρεσία ηλεκτρονικού ταχυδρομείου.
http://www.freemail.gr - free email service for the Greek-speaking.