hi leutz,
wie "alle" anderen auch baue ich grade an meiner firewall .. grundlage ist der von pro-linux erschienende artikel.
und mein linux mag die -s option nicht .. ich hab "leider" im di-center keinen artikel gefunden das es jemanden genauso geht ..
ich benutze ein suse 6.1
kernel 2.2.18
und habe grade auf ipchains 1.3.10 geweckselt
tja ich versuche gegen spoofing an meinem loopback vorzugehen:
mit <b>ipchains -A input -i ippp0 -s lo -j DENY </b>sollte es eigentlich gehen - laut text ..
aber es kommt die ausgabe:
<b>ipchains: host/network ´lo´ not found</b>
so sieht es auch bei allen anderen interface angaben aus bei der -s option, dh ich habe auch eine dynamische IP und es kam schon oft der tip einfach das interface anzugeben .. also dito.
<i>thanks con</i>
ipchains und -s
-
Sebastian Ude
Re: ipchains und -s
Ich glaub du hast da was falsch verstanden.
Mit -i gibst du das Interface an, das hast du ja auch schon gemacht (-i ippp0).
Mit -s dann einen Rechner oder ein Netzwerk (192.168.1.0/255.255.255.0 z.B.).
Du hast also einen Rechner der "lo" heisst in deinem Lokalen Netzwerk ? Ich denke mal du meintest "localhost", aber dann frage ich mich was die Regel für einen Sinn hat.
Du willst also alles was über das Interface ippp0 und vom Rechner "lo" (localhost ?) kommt blocken ??
Mit -i gibst du das Interface an, das hast du ja auch schon gemacht (-i ippp0).
Mit -s dann einen Rechner oder ein Netzwerk (192.168.1.0/255.255.255.0 z.B.).
Du hast also einen Rechner der "lo" heisst in deinem Lokalen Netzwerk ? Ich denke mal du meintest "localhost", aber dann frage ich mich was die Regel für einen Sinn hat.
Du willst also alles was über das Interface ippp0 und vom Rechner "lo" (localhost ?) kommt blocken ??
Re: ipchains und -s
Hi,
lo ist eine gebräuchliche Abkürzung für loopback, aber nicht immer definiert.
Entweder du trägst lo als Synonym für loopback (127.0.0.1) in /etc/hosts ein, oder du schreibst es gleich als 127.0.0.1 hin. In Firewall-Regeln sollte man immer mit IP-Adressen statt Hostnamen arbeiten. Dadurch muß man sich nicht auf die Datei /etc/hosts bzw., was ein Sicherheitsrisiko sein könnte, auf einen Nameserver verlassen.
Gruß,
hjb
lo ist eine gebräuchliche Abkürzung für loopback, aber nicht immer definiert.
Entweder du trägst lo als Synonym für loopback (127.0.0.1) in /etc/hosts ein, oder du schreibst es gleich als 127.0.0.1 hin. In Firewall-Regeln sollte man immer mit IP-Adressen statt Hostnamen arbeiten. Dadurch muß man sich nicht auf die Datei /etc/hosts bzw., was ein Sicherheitsrisiko sein könnte, auf einen Nameserver verlassen.
Gruß,
hjb
Pro-Linux - warum durch Fenster steigen, wenn es eine Tür gibt?
-
Thomas Mitzkat
Re: ipchains und -s
<font size="3">Servus,</font><!--3-->
hast Du lo oder Io eingegeben? Vielleicht nur ein Rechtschreibfehler <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
Korrekt wäre lo <img src="http://www.pl-forum.de/UltraBoard/Images/TooHappy.gif" border="0" align="middle">
Thomas
hast Du lo oder Io eingegeben? Vielleicht nur ein Rechtschreibfehler <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
Korrekt wäre lo <img src="http://www.pl-forum.de/UltraBoard/Images/TooHappy.gif" border="0" align="middle">
Thomas
-
conloos
Re: ipchains und -s
thanks,
das ging ja sauschnell ich hatte mit einer antwort nicht vor montag gerechnet.
also ich beziehe mich ausschliesslich auf die - auf pro-linux erschienende artikelserie.
da steht:
<b>IPSpoofing: Loopback Interface
(ext_int=ippp0
lo_int=lo)
ipchains -A input $ext_int -s $lo_int -j DENY
ipchains -A output $ext_int -s $lo_int -j DENY -l</b>
da fehlt das -i, dann also:
<b>
ipchains -A input -i $ext_int -s $lo_int -j DENY
ipchains -A output -i $ext_int -s $lo_int -j DENY -l</b>
.. wenn ich hjb richtig verstanden habe (und mir nochmal die restlichen zeilen in der anleitung anschaue) dann denke ich das, daß ein weiter kleiner fehler ist .. oder ich muss noch eine variable setzen .. lo ist in der /etc/hosts gichtig gestezt
danke an alle <i>con</i>
PS: kennt jenmand von euch ein tool und trojaner aufzuspüren (in linux und auf win maschienen - ich glaub ich hab einen ..)
das ging ja sauschnell ich hatte mit einer antwort nicht vor montag gerechnet.
also ich beziehe mich ausschliesslich auf die - auf pro-linux erschienende artikelserie.
da steht:
<b>IPSpoofing: Loopback Interface
(ext_int=ippp0
lo_int=lo)
ipchains -A input $ext_int -s $lo_int -j DENY
ipchains -A output $ext_int -s $lo_int -j DENY -l</b>
da fehlt das -i, dann also:
<b>
ipchains -A input -i $ext_int -s $lo_int -j DENY
ipchains -A output -i $ext_int -s $lo_int -j DENY -l</b>
.. wenn ich hjb richtig verstanden habe (und mir nochmal die restlichen zeilen in der anleitung anschaue) dann denke ich das, daß ein weiter kleiner fehler ist .. oder ich muss noch eine variable setzen .. lo ist in der /etc/hosts gichtig gestezt
danke an alle <i>con</i>
PS: kennt jenmand von euch ein tool und trojaner aufzuspüren (in linux und auf win maschienen - ich glaub ich hab einen ..)
-
conloos
Re: ipchains und -s
..nachtrag
ist doch ein problem da, bei einigen -wie zb mir- ist es so das von zb. t-offline eine dyn. IP zugewiesen wird.
wenn ich jetzt gegen das spoofing der eigenen IP- vorgehen will, dann (laut text):
<b>
ipchains -A input -i $ext_int -s $ip_adr -j DENY -l
</b>
nun habe ich keine feste ip und müsste es umandeln in:
<b>
ipchains -A input -i $ext_int -s $ext_int -j DENY -l </b> | sinn: packete können als quelle nicht meine ip haben
damit müßte ich das erreichen, wenn der schalter -s diese variable schlucken würde.
gibt es dafür einen anderen weg?? ich habe darüber nachgedacht, es über ein skript zu lösen was die ip grapt .. habe dafür schon eins gesehen was ich anpassen will.
Leider hab ich folgende befürchtung, das Masq script wird bei mir beim bootvorgang gestartet und da könnte folgendes problem aufkommen:
1) da noch keine verbindung offen ist, wird garnichts drinnen stehen (in der variablen)
2) da das system on Demant arbeiten soll, ist nach dem ersten mal schluss - da sich bei jeder einwahl die ip ändert.
<i>con</i>
ist doch ein problem da, bei einigen -wie zb mir- ist es so das von zb. t-offline eine dyn. IP zugewiesen wird.
wenn ich jetzt gegen das spoofing der eigenen IP- vorgehen will, dann (laut text):
<b>
ipchains -A input -i $ext_int -s $ip_adr -j DENY -l
</b>
nun habe ich keine feste ip und müsste es umandeln in:
<b>
ipchains -A input -i $ext_int -s $ext_int -j DENY -l </b> | sinn: packete können als quelle nicht meine ip haben
damit müßte ich das erreichen, wenn der schalter -s diese variable schlucken würde.
gibt es dafür einen anderen weg?? ich habe darüber nachgedacht, es über ein skript zu lösen was die ip grapt .. habe dafür schon eins gesehen was ich anpassen will.
Leider hab ich folgende befürchtung, das Masq script wird bei mir beim bootvorgang gestartet und da könnte folgendes problem aufkommen:
1) da noch keine verbindung offen ist, wird garnichts drinnen stehen (in der variablen)
2) da das system on Demant arbeiten soll, ist nach dem ersten mal schluss - da sich bei jeder einwahl die ip ändert.
<i>con</i>
-
Stormbringer
- Posts: 1570
- Joined: 11. Jan 2001 11:01
- Location: Ruhrgebiet
Re: ipchains und -s
Trag' mal dies in Deine Definitionen ein.
IPADDR=$(/sbin/ifconfig | /bin/grep P-t-P | /usr/bin/cut -c 21-35 | cut -f1 -d" ")
(kommt, glaube ich, vom Pro-Linux Forum ... bin mir aber nicht ganz sicher)
Nun kannst Du mittel $IPADDR immer die aktuelle, dynamisch vergebene Adresse nutzen.
Gruß
IPADDR=$(/sbin/ifconfig | /bin/grep P-t-P | /usr/bin/cut -c 21-35 | cut -f1 -d" ")
(kommt, glaube ich, vom Pro-Linux Forum ... bin mir aber nicht ganz sicher)
Nun kannst Du mittel $IPADDR immer die aktuelle, dynamisch vergebene Adresse nutzen.
Gruß
Last edited by Stormbringer on 04. Feb 2001 16:26, edited 2 times in total.
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
Re: ipchains und -s
Hi,
das kann man wahrscheinlich so machen, wie Stormbringer sagt, doch die Angabe des Interfaces allein (also -s weglassen) sollte doch schon genügen. Oder nicht?
Gruß,
hjb
das kann man wahrscheinlich so machen, wie Stormbringer sagt, doch die Angabe des Interfaces allein (also -s weglassen) sollte doch schon genügen. Oder nicht?
Gruß,
hjb
Pro-Linux - warum durch Fenster steigen, wenn es eine Tür gibt?