Toon posts:

Alles
1+

ICQ File Transfer achter linux.

Pagina: 1

Acties:

196 views sinds 30-01-2008
Reageer

maandag 2 oktober 2000 16:55

Acties:

Verwijderd

Topicstarter

Hoe is het mogelijk om er voor te zorgen dat alle clients achter een linux gateway de file transfer optie van icq kunnen gebruiken?
De icq module werkt alleen tot het 2000 protocol van icq. Is het ook op een ander manier te fixen?

maandag 2 oktober 2000 17:02

Acties:

Verwijderd

Topicstarter

Oei oei, had deze niet gelezen voor ik dit poste.
Maar daar had ik eigenlijk nog niet veel aan omdat ik E-Smith heb geinstalled en er in de rc.d dir geen rc.firewall staat en echt niet weet welke file er dan aangepast moet worden.

maandag 2 oktober 2000 21:49

Acties:

De file waarin je ipchains staan

maandag 2 oktober 2000 22:24

Acties:

je kan je machine natuurlijk altijd upgraden

maandag 2 oktober 2000 22:55

Acties:

Verwijderd

Topicstarter

Kijk eens aan!
Ik zoende je post op me monitor!

tnx!!

maandag 2 oktober 2000 22:59

Acties:

Verwijderd

Topicstarter

Maaru, die kritiek die op z'n post gegeven wordt, is die wel terecht?
Ik wordt daar namelijk een beetje bang van.

dinsdag 3 oktober 2000 11:35

Acties:

Verwijderd

Heeft iemand file transfer al aan de praat gekregen achter een linux vuurmuur? Ik gebruik de ip_masq_icq module, maar krijg die transfers niet werkend! Kan iemand mij vertellen hoe dat kan?
thanx

dinsdag 3 oktober 2000 12:01

Acties:

<BLOCKQUOTE><font size=1 face=Verdana, Arial, Helvetica>quote:</font><HR>Op 03 oktober 2000 11:35 schreef vert het volgende:
Heeft iemand file transfer al aan de praat gekregen achter een linux vuurmuur? Ik gebruik de ip_masq_icq module, maar krijg die transfers niet werkend! Kan iemand mij vertellen hoe dat kan?
thanx[/quote]Heb het werkend zonder die module, kwestie van wat porten forwarden naar je clients, en die poorten dan bij icq instellen.

dinsdag 3 oktober 2000 13:25

Acties:

Verwijderd

thanx
werkt nu
Voor wie weten hoe, in het firewall script:

port=2000
while [ $port -le 2019 ]
do
/usr/sbin/ipmasqadm portfw -a -P tcp -L $EXTERNALIP $port -R 192.168.0.3 $port
port=$((port+1))
done

en vervolgens in icq instellen:

icq --> preferences --> connections --> Server --> Proxy Settings --> Using Firewall --> Not using proxy
icq --> preferences --> connections --> User --> Not using proxy --> Use the following.... --> 2000 to: 2019

dinsdag 3 oktober 2000 22:31

Acties:

Als ik nou zo'n poort probeer te forwarden krijg ik de volgende error:
autofw: setsockopt failed: Invalid argument
Wat doe ik nou fout dan?

Prepare for unforeseen consequences

dinsdag 3 oktober 2000 23:52

Acties:

Verwijderd

Misschien heb je ipmasqadm in /usr/sbin/ipmasqadm niet geinstallert
of klopt het path niet :-)

donderdag 5 oktober 2000 07:52

Acties:

Verwijderd

Topicstarter

Wat is de firewall file bij E-smith??
tis namelijk nie echt duidelijk omschreven.

vrijdag 6 oktober 2000 18:22

Acties:

Verwijderd

Topicstarter

you have to know it shadox!

vrijdag 6 oktober 2000 18:38

Acties:

ikke?

Ik zou het echt niet weten, ik heb geen E-smith op mijn linuxbakken, alleen Redhat 6.1/6.2.

In redhat 6.2 zit wel /etc/rc.d/init.d/ipchains wat een klein beetje ipchains instelt.

zondag 8 oktober 2000 10:37

Acties:

file transfer module? huh?

zet va deze regeltjes in je rc.ipchains (of zoiets):<BLOCKQUOTE><font size=1 face=Verdana, Arial, Helvetica>code:</font><HR>ipchains -A forward -b -s 10.0.0.69/24 -j MASQ -p all[/quote]waarbij 10.0.0.69 het ip wordt van de client waar icq op staat...zo krijgt dat ip full access. dan ken je alles doen.. ook dcc

zondag 8 oktober 2000 13:27

Acties:

Verwijderd

Sorry hoor Phantom_ en vert, het werkt allebei niet bij mij...

Slackware 7.1, kernel 2.2.17, ICQ 2000b Win2k

zondag 8 oktober 2000 15:26

Acties:

UNIVERSE="0.0.0.0/0"
EXTIF="ppp0"

edit:

EXTIP="198.182.196.56"

/sbin/ipchains -A input -j ACCEPT -p tcp -s $UNIVERSE -d $EXTIP 2000:2200
/sbin/ipchains -A output -j ACCEPT -i $EXTIF -p tcp -s $EXTIP 2000:2200 -d $UNIVERSE

port=2000
while [ $port -le 2050 ]
do
/usr/sbin/ipmasqadm portfw -a -P tcp -L $EXTIP $port -R 192.168.1.10 $port
port=$((port+1))
done
while [ $port -le 2100 ]
do
/usr/sbin/ipmasqadm portfw -a -P tcp -L $EXTIP $port -R 192.168.1.30 $port
port=$((port+1))
done
while [ $port -le 2150 ]
do
/usr/sbin/ipmasqadm portfw -a -P tcp -L $EXTIP $port -R 192.168.1.40 $port
port=$((port+1))
done
while [ $port -le 2200 ]
do
/usr/sbin/ipmasqadm portfw -a -P tcp -L $EXTIP $port -R 192.168.1.50 $port
port=$((port+1))
done

Deze regels sturen 50 poorten door per computer naar 4 computers. FF in icq zelf instellen dat hij die poorten moet gebruiken.

zondag 8 oktober 2000 15:57

Acties:

Verwijderd

Topicstarter

Als je nou zoiets als dit: ipchains -A forward -b -s 10.0.0.69/24 -j MASQ -p all intypt in je console. Zou die ut dan ook moeten doen??
Doe het via telnet, maar dat zal geen verschil maken, wel?

zondag 8 oktober 2000 17:20

Acties:

Verwijderd

Hm...het zal wel aan mij liggen

hieronder mijn rc.icq ;)<BLOCKQUOTE><font size=1 face=Verdana, Arial, Helvetica>code:</font><HR>blabla[/quote]rc.firewall:<BLOCKQUOTE><font size=1 face=Verdana, Arial, Helvetica>code:</font><HR>blabla[/quote][update]
Zonder die 's in rc.icq
[/update]

[update2]
Een typfoutje in m'n script...het werkt nu perfect!
[/update2]

zaterdag 21 oktober 2000 13:32

Acties:

Verwijderd

Topicstarter

Ik heb nou bij rc.local het volgende gezet:

port=2000
while [ $port -le 2050 ]
do
/usr/sbin/ipmasqadm portfw -a -P tcp -L $EXTIP $port -R 192.168.0.1 $port
port=$((port+1))
done

Maar dit wil niet echt werken. Hij zegt (50x) portfw: illegal local address/port specified

De instelling van shadax heb ik owk geprobeert (met EXTIF=eth0) maar met het zelfde resultaat.

zaterdag 21 oktober 2000 13:42

Acties:

192.168.0.1 is waarschijnlijk het ip van je linuxbak zelf, dus wat je nu doet is een poort van zichzelf, naar zichzelf doorsturen.

zaterdag 21 oktober 2000 16:08

Acties:

Verwijderd

Topicstarter

Yup foutje van mij. Had het fout overgetypt

Het moet zijn: 192.168.0.2

zaterdag 21 oktober 2000 16:13

Acties:

Gebruik een SOCKS5 proxy, werkt prima
Voor de RPM:

http://rpmfind.net/linux/RPM/contrib/libc6/i386////socks5-1.0r11-2.i386.html

Voor handmatige install en de documentatie:
http://www.socks.nec.com/

Of mail me

zaterdag 21 oktober 2000 16:51

Acties:

Verwijderd

Topicstarter

nope

zaterdag 21 oktober 2000 17:12

Acties:

- rustig maar -

Die ip_masq_icq module werkt NIET met ICQ2000. Ik gebruik zelf ICU en/of CenterICQ. (beide voor linux) en het werkt perfect. Binnen een LAN en tussen gemaskeerde LAN in. Alleen ICU is een beetje instabiel tijdens filetransfers...

Help mee met het vertalen van GNOME. | #nos op irc.tweakers.net voor directe hulp.

zaterdag 21 oktober 2000 23:09

Acties:

<BLOCKQUOTE><font size=1 face=Verdana, Arial, Helvetica>quote:</font><HR>Op 21 oktober 2000 13:32 schreef Januz_ het volgende:
Ik heb nou bij rc.local het volgende gezet:

port=2000
while [ $port -le 2050 ]
do
/usr/sbin/ipmasqadm portfw -a -P tcp -L $EXTIP $port -R 192.168.0.1 $port
port=$((port+1))
done

Maar dit wil niet echt werken. Hij zegt (50x) portfw: illegal local address/port specified[/quote]probeer het eens met ips een keertje los, bv

/usr/sbin/ipmasqadm portfw -a -P tcp -L 198.182.196.56 6345 -R 192.168.1.10 80<BLOCKQUOTE><font size=1 face=Verdana, Arial, Helvetica>quote:</font><HR>De instelling van shadax heb ik owk geprobeert (met EXTIF=eth0) maar met het zelfde resultaat.[/quote]foutje van mij, had bij mijn bericht bij de var. ook moeten staan EXTIP="198.182.196.56"

/edit
ff te snel gelezen

zondag 22 oktober 2000 01:51

Acties:

soz
maar dit alles werkt niet bij mij..

al mijn poorten staan volledig op MASQ (van ipppX naar eth0+eth1)

ik wil op ipppX poort 50 doorlussen naar poort 21 op een remote destination binnen mijn LAN (10.0.0.1) ....
krijg het niet aan de praat..

ipchains hoef ik niet in te stellen omdat alles standaard op ACCEPT staat toch..?
en als ik ipmasqadm doe gebeurt er niets.. krijg geen connectie. moet je daarna rebooten ofzo?

ProMods ETS2 uitbreiding - Mijn tijdszone is UTC+13

zondag 22 oktober 2000 02:17

Acties:

een keer is wel genoeg

zondag 22 oktober 2000 02:18

Acties:

Wat zie je bij:
/usr/sbin/ipmasqadm portfw -l
staan je regels er wel gewoon genoemt?

In principe als je alles echt open hebt staan, dan zou het genoeg moeten zijn. Test ff of alles open staat door een webserver op je server te zetten en op die bepaalde poort te zetten en kijk of je die van buitenaf kan bereiken. (Voordat je alles doorstuurt naar het lokale netwerk).

Herstarten hoeft zeker niet, als je je scripts waarin je eventueel je ipchains/ipmaswadm regels verandert hebt, ff draait, dan is het voldoende.

Je wilt op port 21 waarschijnlijk een ftp servertje hangen, let de dan ook nog ff op dat ftp 2 poorten gebruikt.

zondag 22 oktober 2000 02:28

Acties:

ik voer in:
ipmasqadm portfw -a -P tcp -L 0.0.0.0 50 -R 10.0.0.1 21

0.0.0.0 omdat ik een dynamisch IP heb.. of is het hier beter om het IP van eth0 in te voeren???

bij ipmasqadm portfw -l
krijg ik het volgende terug:

TCP 0.0.0.0 scul.terror.net re-mail-ck ftp 10 10

.... voor enkel een FTP login heb ik toch alleen poort 21 nodig... 22 is voor datatransfers.. ?

btw
ik heb apache & wuftpd op de linuxbak (router).. en die zijn vanaf buitenaf zonder problemen bereikbaar.. het doorlussen functioneerd alleen niet..

shadax als je me wilt adden aan je icqlijst graag... je bent erg behulpzaam heb ik hier gezien op GoT..

ProMods ETS2 uitbreiding - Mijn tijdszone is UTC+13

zondag 22 oktober 2000 02:36

Acties:

Je moet daar je dynamisch ip invullen. Ik zit ook met een dynamisch ip en zal dus iedere keer m'n ipmasqadm regels moeten flushen en opnieuw instellen.

Sowieso is een firewall hebben, die ook kijkt naar je huidige ip op internet niet echt onverstandig, en dan kan je in dat firewall script gelijk je ipmasqadm op nieuw instellen.

/edit
tik foutje

en over dat icq, stel je vragen maar op het forum, dan hebben andere mensen er misschien ook nog wat aan..

zondag 22 oktober 2000 02:44

Acties:

ok...
dat brengt alleen weer een vraag met zich mee.
hoe bepaal ik in godesnaam m'n external IP in een bashscript?
en ten 2e> ik zal dus elke keer handmatig dat firewall script moeten starten zodra ik inbel?

wat betreft icq> vat het.. zo beter

ProMods ETS2 uitbreiding - Mijn tijdszone is UTC+13

zondag 22 oktober 2000 03:23

Acties:

je ip in een scriptje:
EXTIF="ppp0"

EXTIP=`/sbin/ifconfig | grep -A 4 $EXTIF | awk '/inet/ { print $2 } ' | sed -e s/addr://`

(kan vast wel efficienter, maar dit werkt ook)

Bij RedHat is het zo dat het script ip-up.local (bij mij in /etc/ppp) automatisch wordt uitgevoerd op het moment dat linux verbinding maakt. Handmatig een script uitvoeren om je firewall op nieuw in te stellen gaat niet werken. Tenminste bij mij niet, ik word er af en toe gewoon uitgegooid door mijn provider, linux belt dat opnieuw in, en dan zou mijn firewall opeens niets meer doorlaten, dat is niet echt handig. Nu merk ik gewoon niets van die disconnects.

zondag 22 oktober 2000 14:54

Acties:

k
het IP script werkt...
volgens probleem:
ik heb ISDN en ik zie niet zo'n ip-up scriptje staan .... moet dat dan in /etc/isdn ofzo...?

ProMods ETS2 uitbreiding - Mijn tijdszone is UTC+13

zondag 22 oktober 2000 16:32

Acties:

bij mij bestond hij ook niet, maar in /etc/ppp/ip-up stond:

# This file should not be modified -- make local changes to
# /etc/ppp/ip-up.local instead

maar hoe dat precies met isdn moet, weet ik niet, kijk ff rond in je /etc/isdn dir.

zondag 22 oktober 2000 16:47

Acties:

Verwijderd

Topicstarter

Hij doet ut nog steeds niet:

portfw: illegal local adress/port specified

zondag 22 oktober 2000 17:02

Acties:

Verwijderd

Topicstarter

Ik zal even m'n volledig script senden:

echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/ipchains -P input ACCEPT
/sbin/ipchains -P output ACCEPT
/sbin/ipchains -P forward REJECT
/sbin/ipchains -F input
/sbin/ipchains -F output
/sbin/ipchains -F forward
/sbin/ipchains -M -S 7200 10 60
/sbin/ipchains -A forward -s 192.168.0.0/24 -j MASQ

UNIVERSE="0.0.0.0/0"
EXTIF="eth0"
EXTIP='/sbin/ifconfig | grep -A 4 $EXTIF | awk \/inet/ { print $2 }\ | sed -e s/addr://'

/sbin/ipchains -A input -j ACCEPT -p tcp -s $UNIVERSE -d $EXTIP 2000:2100
/sbin/ipchains -A output -j ACCEPT -i $EXTIF -p tcp -s $EXTIP 2000:2100 -d $UNIVERSE

port=2000
while [ $port -le 2050 ]
do
/usr/sbin/ipmasqadm portfw -a -P tcp -L $EXTERNALIP $port -R 192.168.0.2 $port
port=$((port+1))
done

# while [ $port -le 2100 ]
# do
# /usr/sbin/ipmasqadm portfw -a -P tcp -L $EXTERNALIP $port -R 192.168.0.3 $port
# port=$((port+1))
# done

zondag 22 oktober 2000 17:10

Acties:

<BLOCKQUOTE><font size=1 face=Verdana, Arial, Helvetica>quote:</font><HR>Op 22 oktober 2000 17:02 schreef Januz_ het volgende:
Ik zal even m'n volledig script senden:

echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/ipchains -P input ACCEPT
/sbin/ipchains -P output ACCEPT
/sbin/ipchains -P forward REJECT
/sbin/ipchains -F input
/sbin/ipchains -F output
/sbin/ipchains -F forward
/sbin/ipchains -M -S 7200 10 60
/sbin/ipchains -A forward -s 192.168.0.0/24 -j MASQ

UNIVERSE="0.0.0.0/0"
EXTIF="eth0"
EXTIP='/sbin/ifconfig | grep -A 4 $EXTIF | awk /inet/ { print $2 } | sed -e s/addr://'

echo ff ip checken
echo $EXTIP

/sbin/ipchains -A input -j ACCEPT -p tcp -s $UNIVERSE -d $EXTIP 2000:2100
/sbin/ipchains -A output -j ACCEPT -i $EXTIF -p tcp -s $EXTIP 2000:2100 -d $UNIVERSE

port=2000
while [ $port -le 2050 ]
do
/usr/sbin/ipmasqadm portfw -a -P tcp -L $EXTIP $port -R 192.168.0.2 $port
port=$((port+1))
done

# while [ $port -le 2100 ]
# do
# /usr/sbin/ipmasqadm portfw -a -P tcp -L $EXTERNALIP $port -R 192.168.0.3 $port
# port=$((port+1))
# done[/quote]en wat gebeurt er als ze gewoon doet:
/usr/sbin/ipmasqadm portfw -a -P tc -L 198.182.196.56 6345 -R 192.168.4.10 80

(zonder ips/poorten aan te passen in die regel)

/edit
foutje met de [b] tags

zondag 22 oktober 2000 17:20

Acties:

EXTIP='/sbin/ifconfig | grep -A 4 eth0 | awk '/inet/ { print $2 }' | sed -e s/addr://'

zondag 22 oktober 2000 18:36

Acties:

vind het maar lastig.
er moet toch wel een makkelijkere manier zijn om die poorten te forwarden (niet bij elke connect al die shit..

)

in m'n /etc/isdn dir staan alleen maar config scripts..... niets war ook maar enigszins lijkt op jouw ip-up.local (die ik OOK heb staan in /etc/ppp btw) ..

ProMods ETS2 uitbreiding - Mijn tijdszone is UTC+13

zondag 22 oktober 2000 19:39

Acties:

I use FreeNAS and Ubuntu

Efficienter ... IFEXTERN=`/sbin/ifconfig|/bin/grep P-t-P|/usr/bin/cut -b 21-34`

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

maandag 23 oktober 2000 08:47

Acties:

Verwijderd

Topicstarter

<BLOCKQUOTE><font size=1 face=Verdana, Arial, Helvetica>quote:</font><HR>en wat gebeurt er als ze gewoon doet:
/usr/sbin/ipmasqadm portfw -a -P tc -L 198.182.196.56 6345 -R 192.168.4.10 80[/quote]Server geeft geen fout melding, maar wat zou er moeten gebeuren dan?<BLOCKQUOTE><font size=1 face=Verdana, Arial, Helvetica>quote:</font><HR>EXTIP='/sbin/ifconfig | grep -A 4 eth0 | awk '/inet/ { print $2 }' | sed -e s/addr://'[/quote]Was een typo, heb het net geweizigt maar dat maakt geen verschil in de foutmelding. Als ie zegt illegal local address/port specified heeft dat toch iets te maken met.... ... een locaal adres of poort.?

maandag 23 oktober 2000 12:59

Acties:

Als er "niets" gebeurt dan gaat het gewoon goed, kijk maar:
/usr/sbin/ipmasqadm portfw -l
daar staat hij nu tussen

EXTIP="200.200.200.200"
echo $EXTIP
port=2000
while [ $port -le 2050 ]
do
/usr/sbin/ipmasqadm portfw -a -P tcp -L $EXTIP $port -R 192.168.0.1 $port
port=$((port+1))
done

werkt perfect bij mij, alleen toen ik per ongeluk van de eerste regel $EXTIP="200.200.200.200" had gemaakt, toen kreeg ik de foutmelding, die jij ook had. Dus check ff met 'echo $EXTIP' of er een goed ip uit komt.

maandag 23 oktober 2000 20:12

Acties:

dat probleem met $EXTIP en EXTIP had ik eerst ook maar dat werkt nu.
voor de duidelijkheid dump ik m'n hele firewall config hier ff:

ipchains -F
ipchains -X
ipchains -A forward -i ippp0 -j MASQ
ipchains -A input -i ippp0 -p TCP -d 0/0 telnet -j DENY
ipchains -A input -i ippp0 -p TCP -d 0/0 smtp -j DENY
ipchains -A input -i ippp0 -p TCP -d 0/0 53 -j DENY
ipchains -A input -i ippp0 -p TCP -d 0/0 79 -j DENY
ipchains -A input -i ippp0 -p TCP -d 0/0 pop3 -j DENY
ipchains -A input -i ippp0 -p TCP -d 0/0 111 -j DENY
ipchains -A input -i ippp0 -p TCP -d 0/0 139 -j DENY
ipchains -A input -i ippp0 -p TCP -d 0/0 513 -j DENY
ipchains -A input -i ippp0 -p TCP -d 0/0 514 -j DENY
ipchains -A input -i ippp0 -p TCP -d 0/0 901 -j DENY
ipchains -A input -i ippp0 -p TCP -d 0/0 2064 -j DENY
ipchains -A input -i ippp0 -p TCP -d 0/0 6711 -j DENY
ipchains -A input -i ippp0 -p TCP -d 0/0 20011 -j DENY
ipchains -A forward -p TCP-d 10.0.0.1 23 --sport 24

(poort 24 van 10.0.0.10 forwarden naar poort 23 van 10.0.0.1 (telnet is 1-poortig dus heb dat maar gebruikt ipv FTP).. )

ProMods ETS2 uitbreiding - Mijn tijdszone is UTC+13

maandag 23 oktober 2000 20:41

Acties:

#!/bin/sh

# The loopback interface and address
#
LOOPBACKIF="lo"
LOOPBACKIP="127.0.0.1"

# External interface device.
EXTIF="ppp0"
echo External Interface: $EXTIF

# IP address of the external interface

EXTIP=`/sbin/ifconfig | grep -A 4 $EXTIF | awk '/inet/ { print $2 } ' | sed -e s/addr://`
echo External IP: $EXTIP

# Broadcast address of the external network

EXTBROAD=`/sbin/ifconfig | grep -A 1 $EXTIF | awk '/Bcast/ { print $3 }' | sed -e s/Bcast://`
echo External broadcast: $EXTBROAD

# Gateway for the external network
#
EXTGW=`/sbin/route -n | grep -A 4 UG | awk '{ print $2}'`
echo Default GW: $EXTGW

echo " --- "

# Internal interface device.
INTIF="eth0"
INTIF2="eth1"
echo Internal Interface: $INTIF
echo Internal Interface: $INTIF2

# IP address on the internal interface
INTIP="192.168.1.1"
INTIP2="192.168.2.1"
echo Internal IP: $INTIP
echo Internal IP: $INTIP2
# IP network address of the internal network
INTLAN="192.168.1.0/24"
INTLAN2="192.168.2.0/24"

echo Internal LAN: $INTLAN
echo Internal LAN2: $INTLAN2

echo " --- "

# IP Mask for all IP addresses
UNIVERSE="0.0.0.0/0"

# IP Mask for broadcast transmissions
BROADCAST="255.255.255.255"

# Specification of the high unprivileged IP ports.
UNPRIVPORTS="1024:65535"

# Specification of X Window System (TCP) ports.
XWINDOWS_PORTS="6000:6010"

# Logging state.
#
# Uncomment the " " line and comment the "-l" line if you want to
# disable logging of some of more important the IPCHAINS rulesets.
#
# The output of this logging can be found in the /var/log/messages
# file. It is recommended that you leave this setting enabled.
# If you need to reduce some of the logging, edit the rulesets and
# delete the "$LOGGING" syntax from the ruleset that you aren't
# interested in.
#
# LOGGING=" "
LOGGING="-l"

echo " --- "

echo "----------------------------------------------------------------------"

#--------------------------------------------------------------------
# Debugging Section
#--------------------------------------------------------------------
# If you are having problems with the firewall, uncomment the lines
# below and then re-run the firewall to make sure that the firewall
# is not giving any errors, etc. The output of this debugging
# script will be in a file called /tmp/rc.firewall.dump
#--------------------------------------------------------------------
#
echo " - Debugging."
echo Loopback IP: $LOOPBACKIP > /tmp/rc.firewall.dump
echo Loopback interface name: $LOOPBACKIF >> /tmp/rc.firewall.dump
echo Internal interface name: $INTIF >> /tmp/rc.firewall.dump
echo Internal interface2 name: $INTIF2 >> /tmp/rc.firewall.dump
echo Internal interface IP: $INTIP >> /tmp/rc.firewall.dump
echo Internal interface2 IP: $INTIP2 >> /tmp/rc,firewall.dump
echo Internal LAN address: $INTLAN >> /tmp/rc.firewall.dump
echo Internal LAN2 address: $INTLAN2 >> /tmp/rc.firewall.dump
echo ----------------------------------------------------- >> /tmp/rc.firewall.dump
echo External interface name: $EXTIF >> /tmp/rc.firewall.dump
echo External interface IP: $EXTIP >> /tmp/rc.firewall.dump
echo External interface broadcast IP: $EXTBROAD >> /tmp/rc.firewall.dump
echo External interface default gateway: $EXTGW >> /tmp/rc.firewall.dump
echo ----------------------------------------------------- >> /tmp/rc.firewall.dump
echo External secondary DNS: $SECONDARYDNS >> /tmp/rc.firewall.dump
echo External secured host: $SECUREHOST >> /tmp/rc.firewall.dump

#--------------------------------------------------------------------
# General
#--------------------------------------------------------------------
# Performs general processing such as setting the multicast route
# and DHCP address hacking.

echo " - Adding multicast route."
/sbin/route add -net 224.0.0.0 netmask 240.0.0.0 dev $EXTIF

# Disable IP spoofing attacks.
#
# This drops traffic addressed for one network though it is being received on a
# different interface.
#
echo " - Disabling IP Spoofing attacks."
for file in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo "1" > $file
done

# Comment the following out of you are not using a dynamic address
#
echo " - Enabling dynamic TCP/IP address hacking."
echo "1" > /proc/sys/net/ipv4/ip_dynaddr

#--------------------------------------------------------------------
# Type of Service (TOS) Settings
#--------------------------------------------------------------------
# Though very FEW ISPs do anything with the TOS bits, I thought you'd
# like to see it. In therory, you can tell the Internet how to handle
# your traffic, be it sensitive to delay, throughput, etc.
#
# -t 0x01 0x10 = Minimum Delay
# -t 0x01 0x08 = Maximum Throughput
# -t 0x01 0x04 = Maximum Reliability
# -t 0x01 0x02 = Minimum Cost
#
# Example:
#
# Settings for FTP, SSH, and TELNET
# ipchains -A output -p tcp -d 0/0 21:23 -t 0x01 0x10
#
# Settings for WWW
# ipchains -A output -p tcp -d 0/0 80 -t 0x01 0x10

#--------------------------------------------------------------------
# Masquerading Timeouts
#--------------------------------------------------------------------
# Set timeout values for masq sessions (seconds).
#
# Item #1 - 2 hrs timeout for TCP session timeouts
# Item #2 - 10 sec timeout for traffic after the TCP/IP "FIN" packet is received
# Item #3 - 60 sec timeout for UDP traffic
#
# Note to ICQ users: You might want to set the UDP timeout to something
# like 160.
#
echo " - Changing IP masquerading timeouts."
/sbin/ipchains -M -S 7200 10 260

#--------------------------------------------------------------------
# Masq Modules
#--------------------------------------------------------------------
# Most TCP/IP-enabled applications work fine behind a Linux IP
# Masquerade server. But, some applications need a special
# module to get their traffic in and out properly.
#
# Note: Some applications do NOT work though IP Masquerade server at ALL such
# as any H.323-based program. Please the IP-MASQ HOWTO for more details.
#
# Note #2: Only uncomment the modules that you REQUIRE to be loaded.
# The FTP module is loaded by default.
#--------------------------------------------------------------------
echo " - Loading masquerading modules."

/sbin/modprobe ip_masq_cuseeme
/sbin/modprobe ip_masq_ftp
/sbin/modprobe ip_masq_irc
/sbin/modprobe ip_masq_quake
/sbin/modprobe ip_masq_raudio
/sbin/modprobe ip_masq_vdolive

#--------------------------------------------------------------------
# Default Policies
#--------------------------------------------------------------------
# Set all default policies to REJECT and flush all old rules.
#--------------------------------------------------------------------

# Change default policies to REJECT.
#
# We want to only EXPLICTLY allow what traffic is allowed IN and OUT of the
# firewall. All other traffic will be implicitly blocked.
#
echo " - Set default policies to REJECT"
/sbin/ipchains -P input REJECT
/sbin/ipchains -P output REJECT
/sbin/ipchains -P forward REJECT

echo " - Flushing all old rules and setting all default policies to REJECT "
# Flush all old rulesets
#
/sbin/ipchains -F input
/sbin/ipchains -F output
/sbin/ipchains -F forward

# use the local mailserver
/sbin/ipchains -A input --dport 25 -p tcp -i eth0 -j REDIRECT 25

#********************************************************************
# Input Rules
#********************************************************************
echo "----------------------------------------------------------------------"
echo "Input Rules:"

#--------------------------------------------------------------------
# Incoming Traffic on the Internal LAN
#--------------------------------------------------------------------

echo " - Setting input filters for traffic on the internal LAN."

# Local interface, local machines, going anywhere is valid.
#
# Comment this line out if you want to only allow specific traffic on the
# internal network.
/sbin/ipchains -A input -j ACCEPT -i $INTIF -s $INTLAN -d $UNIVERSE
/sbin/ipchains -A input -j ACCEPT -i $INTIF2 -s $INTLAN2 -d $UNIVERSE

# Loopback interface is valid.
/sbin/ipchains -A input -j ACCEPT -i $LOOPBACKIF -s $UNIVERSE -d $UNIVERSE

# verplicht gebruiken van de lokale mailserver
/sbin/ipchains -A input --dport 25 -p tcp -i eth0 -j REDIRECT 25

# DHCP Server.
#
# If you have configured a DHCP server on the Linux machine to serve IP
# addresses to the internal network, you will need to enable this section.
#
# This is an example of how to let input traffic flow through the local
# LAN if we have rejected all prior requests above.
#
# Disabled by default
echo "Optional parameter: DHCPd server"
/sbin/ipchains -A input -j ACCEPT -i $INTIF -p udp -s $UNIVERSE bootpc -d $BROADCAST/0 bootps
/sbin/ipchains -A input -j ACCEPT -i $INTIF -p tcp -s $UNIVERSE bootpc -d $BROADCAST/0 bootps

#--------------------------------------------------------------------
# Incoming Traffic from the External Interface
#--------------------------------------------------------------------
# This ruleset will control specific traffic that is allowed in from
# the external interface.
#--------------------------------------------------------------------
#
echo " - Setting input filters for traffic from the external interface."

# Remote interface, claiming to be local machines, IP spoofing, get lost & log

/sbin/ipchains -A input -j REJECT -i $EXTIF -s $INTLAN -d $UNIVERSE $LOGGING
/sbin/ipchains -A input -j REJECT -i $EXTIF -s $INTLAN2 -d $UNIVERSE $LOGGING

# allow 192.168.1.x <-> 192.168.2.x
/sbin/ipchains -A input -j ACCEPT -i $INTIF -s $INTLAN -d $INTLAN2
/sbin/ipchains -A input -j ACCEPT -i $INTIF2 -s $INTLAN2 -d $INTLAN

# FTP: Allow external users to connect to the Linux server ITSELF for
# PORT-style FTP services. This will NOT work for PASV FTP transfers.
#
# Disabled by default.
echo "Optional parameter: FTP server"
/sbin/ipchains -A input -j ACCEPT -i $EXTIF -p tcp -s $UNIVERSE -d $EXTIP ftp
/sbin/ipchains -A input -j ACCEPT -i $EXTIF -p tcp -s $UNIVERSE -d $EXTIP ftp-data

# HTTP: Allow external users to connect to the Linux server ITSELF for
# HTTP services.
#
# Disabled by default.
echo "Optional parameter: WWW server"
/sbin/ipchains -A input -j ACCEPT -i $EXTIF -p tcp -s $UNIVERSE -d $EXTIP http
/sbin/ipchains -A input -j ACCEPT -i $EXTIF -p tcp -s $UNIVERSE -d $EXTIP 443

# ICMP: Allow ICMP packets from all external TCP/IP addresses.
#
#
/sbin/ipchains -A input -j ACCEPT -i $EXTIF -p icmp -s $UNIVERSE -d $EXTIP

# TELNET: Allow external computers to connect to the Linux server ITSELF for
# TELNET access.
#
# Disabled by default.
echo "Optional parameter: TELNET server"
/sbin/ipchains -A input -j ACCEPT -i $EXTIF -p tcp -s $UNIVERSE -d $EXTIP telnet

echo "Optional parameter: POP3 server"
/sbin/ipchains -A input -j ACCEPT -i $EXTIF -p tcp -s $UNIVERSE -d $EXTIP pop-3

# SSH server: Allow external computers to connect to the Linux server ITSELF
# for SSH access.
#
# Disabled by default.
echo "Optional parameter: SSH server"
/sbin/ipchains -A input -j ACCEPT -i $EXTIF -p tcp -s $UNIVERSE -d $EXTIP ssh

/sbin/ipchains -A input -p tcp -d $EXTIP pop-3 -s $EXTIP -j ACCEPT

#--------------------------------------------------------------------
# Specific Input Rejections
#--------------------------------------------------------------------
# These rulesets reject specific traffic that you do not want out of
# the system.
#--------------------------------------------------------------------
echo " - Reject specific inputs."

# Remote interface, claiming to be local machines, IP spoofing, get lost & log
/sbin/ipchains -A input -j REJECT -i $EXTIF -s $INTLAN -d $UNIVERSE $LOGGING
/sbin/ipchains -A input -j REJECT -i $EXTIF -s $INTLAN2 -d $UNIVERSE $LOGGING

# NFS: Reject NFS traffic FROM and TO external machines.

/sbin/ipchains -A input -j REJECT -i $EXTIF -p tcp -s $UNIVERSE -d $EXTIP 2049
/sbin/ipchains -A input -j REJECT -i $EXTIF -p tcp -s $UNIVERSE 2049 -d $EXTIP

# SMB: Reject SMB traffic FROM and TO external machines.

/sbin/ipchains -A input -j REJECT -i $EXTIF -p tcp -s $UNIVERSE -d $EXTIP 137
/sbin/ipchains -A input -j REJECT -i $EXTIF -p tcp -s $UNIVERSE -d $EXTIP 138
/sbin/ipchains -A input -j REJECT -i $EXTIF -p tcp -s $UNIVERSE -d $EXTIP 139
/sbin/ipchains -A input -j REJECT -i $EXTIF -p tcp -s $UNIVERSE 137 -d $EXTIP
/sbin/ipchains -A input -j REJECT -i $EXTIF -p tcp -s $UNIVERSE 138 -d $EXTIP
/sbin/ipchains -A input -j REJECT -i $EXTIF -p tcp -s $UNIVERSE 139 -d $EXTIP

#--------------------------------------------------------------------
# Incoming Traffic on all Interfaces

echo " - Setting input filters for public services (all interfaces)."

# AUTH: Allow the authentication protocol, ident, to function on all
# interfaces but disable it in /etc/inetd.conf. The reason to
# allow this traffic in but block it via Inetd is because some
# legacy TCP/IP stacks don't deal with REJECTed "auth" requests
# properly.
#
/sbin/ipchains -A input -j ACCEPT -p tcp -s $UNIVERSE -d $UNIVERSE auth

# DNS: If you are running an authoritative DNS server, you must open
# up the DNS ports on all interfaces to allow lookups. If you are
# running a caching DNS server, you will need to at least open the DNS
# ports to internal interfaces.
#
#
# Disabled by default.
echo "Optional parameter: DNS server"
/sbin/ipchains -A input -j ACCEPT -p tcp -s $UNIVERSE -d $UNIVERSE domain
/sbin/ipchains -A input -j ACCEPT -p udp -s $UNIVERSE -d $UNIVERSE domain

# SMTP: If this server is an authoritative SMTP email server, you must
# allow SMTP traffic to all interfaces.
#
# Disabled by default.
echo "Optional parameter: SMTP server"
/sbin/ipchains -A input -j ACCEPT -p tcp -s $UNIVERSE -d $EXTIP smtp

# poorten voor icq
/sbin/ipchains -A input -j ACCEPT -p tcp -s $UNIVERSE -d $EXTIP 2000:2200
# poort voor webphone
/sbin/ipchains -A input -j ACCEPT -p tcp -s $UNIVERSE -d $EXTIP 22555

#--------------------------------------------------------------------
# Explicit INPUT Access from external LAN Hosts
#--------------------------------------------------------------------

echo " - Setting input filters for explicit external hosts."

#--------------------------------------------------------------------
# Port Forwarding
#--------------------------------------------------------------------
# Port forwarding allows external traffic to directly connect to an INTERNAL
# Masq'ed machine. An example need for port forwarding is the need for external
# users to directly contact a WWW server behind the MASQ server.
#
# NOTE: Port forwarding is well beyond the scope of this documentation to
# explain the security issues implied in opening up access like this.
# Please see Appendix A to read the IP-MASQ-HOWTO for a full explanation.
#
# Do not use ports greater than 1023 for redirection ports.
#
# Disabled by default.
#--------------------------------------------------------------------
#echo " * Enabling Port Forwarding onto internal hosts."
/usr/sbin/ipmasqadm portfw -f
#echo " * Forwarding "
/usr/sbin/ipmasqadm portfw -a -P tcp -L $EXTIP 22555 -R 192.168.1.10 22555

port=2000
while [ $port -le 2050 ]
do
/usr/sbin/ipmasqadm portfw -a -P tcp -L $EXTIP $port -R 192.168.1.10 $port
port=$((port+1))
done
while [ $port -le 2100 ]
do
/usr/sbin/ipmasqadm portfw -a -P tcp -L $EXTIP $port -R 192.168.1.30 $port
port=$((port+1))
done
while [ $port -le 2150 ]
do
/usr/sbin/ipmasqadm portfw -a -P tcp -L $EXTIP $port -R 192.168.1.40 $port
port=$((port+1))
done
while [ $port -le 2200 ]
do
/usr/sbin/ipmasqadm portfw -a -P tcp -L $EXTIP $port -R 192.168.1.50 $port
port=$((port+1))
done

# HIGH PORTS:
#
# Enable all high unprivileged ports for all reply TCP/UDP traffic
#
# NOTE: The use of the "! -y" flag filters TCP traffic that doesn't have the
# SYN bit set. In other words, this means that any traffic that is
# trying to initiate traffic to your server on a HIGH port will be
# rejected.
#
# The only HIGH port traffic that will be accepted is either return
# traffic that the server originally initiated or UDP-based traffic.
#
# NOTE2: Please note that port 20 for ACTIVE FTP sessions should NOT use
# SYN filtering. Because of this, we must specifically allow it in.
#

echo " - Enabling all input REPLY (TCP/UDP) traffic on high ports."
/sbin/ipchains -A input -j ACCEPT -p tcp -s $UNIVERSE -d $EXTIP 2064
/sbin/ipchains -A input -j ACCEPT ! -y -p tcp -s $UNIVERSE -d $EXTIP $UNPRIVPORTS
/sbin/ipchains -A input -j ACCEPT -p tcp -s $UNIVERSE ftp-data -d $EXTIP $UNPRIVPORTS
/sbin/ipchains -A input -j ACCEPT -p udp -s $UNIVERSE -d $EXTIP $UNPRIVPORTS

#--------------------------------------------------------------------
# Catch All INPUT Rule
#--------------------------------------------------------------------
#
echo " - Final input catch all rule."

# All other incoming is denied and logged.
/sbin/ipchains -A input -j REJECT -s $UNIVERSE -d $UNIVERSE $LOGGING

#********************************************************************
# Output Rules
#********************************************************************
echo "----------------------------------------------------------------------"
echo "Output Rules:"

#--------------------------------------------------------------------
# Outgoing Traffic on the Internal LAN
#--------------------------------------------------------------------

echo " - Setting output filters for traffic on the internal LAN."

# Local interface, any source going to local net is valid.
/sbin/ipchains -A output -j ACCEPT -i $EXTIF -p tcp -s $EXTIP 2000:2200 -d $UNIVERSE

/sbin/ipchains -A output -j ACCEPT -i $INTIF -s $UNIVERSE -d $INTLAN
/sbin/ipchains -A output -j ACCEPT -i $INTIF2 -s $UNIVERSE -d $INTLAN2

# Loopback interface is valid.
/sbin/ipchains -A output -j ACCEPT -i $LOOPBACKIF -s $UNIVERSE -d $UNIVERSE

# DHCP: If you have configured a DHCP server on this Linux machine, you
# will need to enable the following ruleset.
#
# Disabled by default.
echo "Optional parameter: DHCPd server"
/sbin/ipchains -A output -j ACCEPT -i $INTIF -p udp -s $INTIP/32 bootps -d $BROADCAST/0 bootpc
/sbin/ipchains -A output -j ACCEPT -i $INTIF2 -p tcp -s $INTIP2/32 bootps -d $BROADCAST/0 bootpc

# allow 192.168.1.x <-> 192.168.2.x
/sbin/ipchains -A output -j ACCEPT -i $INTIF -s $INTLAN -d $INTLAN2
/sbin/ipchains -A output -j ACCEPT -i $INTIF2 -s $INTLAN2 -d $INTLAN

#--------------------------------------------------------------------
# Explicit Output from Internal LAN Hosts
#--------------------------------------------------------------------

#--------------------------------------------------------------------
# Outgoing Traffic on the External Interface
#--------------------------------------------------------------------
# This ruleset will control what traffic can go out on the external interface.
#--------------------------------------------------------------------
echo " - Setting input filters for traffic to the external interface."

# FTP: Allow FTP traffic (the Linux server is a FTP server)
#
# Disabled by default.
echo "Optional parameter: FTP server"
/sbin/ipchains -A output -j ACCEPT -i $EXTIF -p tcp -s $EXTIP ftp -d $UNIVERSE
/sbin/ipchains -A output -j ACCEPT -i $EXTIF -p tcp -s $EXTIP ftp-data -d $UNIVERSE

# HTTP: Allow HTTP traffic (the Linux server is a WWW server)
#
# Disabled by default
echo "Optional parameter: WWW server"
/sbin/ipchains -A output -j ACCEPT -i $EXTIF -p tcp -s $EXTIP http -d $UNIVERSE
/sbin/ipchains -A output -j ACCEPT -i $EXTIF -p tcp -s $EXTIP 443 -d $UNIVERSE

# TELNET: Allow telnet traffic (the Linux server is a TELNET server)
#
# Disabled by default
echo "Optional parameter: TELNET server"
/sbin/ipchains -A output -j ACCEPT -i $EXTIF -p tcp -s $EXTIP telnet -d $UNIVERSE

echo "Optional parameter: POP3 server"
/sbin/ipchains -A output -j ACCEPT -i $EXTIF -p tcp -s $EXTIP pop-3 -d $UNIVERSE

# SSH server: Allow outgoing SSH traffic (the Linux server is a SSH server)
#
# Disabled by default
echo "Optional parameter: SSH server"
/sbin/ipchains -A output -j ACCEPT -i $EXTIF -p tcp -s $EXTIP ssh -d $UNIVERSE

#--------------------------------------------------------------------
# Outgoing Traffic on all Interfaces
#--------------------------------------------------------------------
# This will control output traffic for all interfaces. This is
# usually used for what could be considered as public services. It
# is noted that we provide a few rejection rulesets as examples but
# these are not required due to the overall REJECT statement above.
#--------------------------------------------------------------------
echo " - Setting output filters for public services on all interfaces."

# AUTH: Allow authentication tap indent on all interfaces (but disable it
# in /etc/inetd.conf).
#
/sbin/ipchains -A output -j ACCEPT -p tcp -s $UNIVERSE auth -d $UNIVERSE

# DNS: If you your Linux server is an authoritative DNS server, you must
# enable this ruleset
#
# Disabled by default
# echo "Optional parameter: DNS server"
/sbin/ipchains -A output -j ACCEPT -p tcp -s $EXTIP domain -d $UNIVERSE
/sbin/ipchains -A output -j ACCEPT -p udp -s $EXTIP domain -d $UNIVERSE

# ICMP: Allow ICMP traffic out
#
# NOTE: Disabling ICMP packets via the firewall ruleset can do far
# more than just stop people from pinging your machine. Many aspects
# of TCP/IP and its associated applications rely on various ICMP
# messages. Without ICMP, both your Linux server and internal Masq'ed
# computers might not work.
#
/sbin/ipchains -A output -j ACCEPT -p icmp -s $UNIVERSE -d $UNIVERSE

# SMTP: If the Linux servers is either an authoritative SMTP server or
# relay, you must allow this ruleset.
#
/sbin/ipchains -A output -j ACCEPT -p tcp -s $EXTIP smtp -d $UNIVERSE

/sbin/ipchains -A output -j ACCEPT -i $EXTIF -p tcp -s $EXTIP 2000:2200 -d $UNIVERSE
/sbin/ipchains -A output -j ACCEPT -i $EXTIF -p tcp -s $EXTIP 22555 -d $UNIVERSE

#--------------------------------------------------------------------
# Output to Explicit Hosts
#--------------------------------------------------------------------
# This controls output to specific external hosts (secure hosts). This example
# implementation allows ssh and pop-3 protocols out to the secure host. In
# addition to these rules, we must also explicitly allow the traffic in from
# the remote host. See the input rules above to see this take place.
#
# Disabled by default.
#--------------------------------------------------------------------
echo " - Setting output filters for explicit external hosts."

#--------------------------------------------------------------------
# Specific Output Rejections
#--------------------------------------------------------------------
# These rulesets reject specific traffic that you do not want out of
# the system.
#--------------------------------------------------------------------
echo " - Reject specific outputs."

# Reject outgoing traffic to the local net from the remote interface,
# stuffed routing; deny & log
/sbin/ipchains -A output -j REJECT -i $EXTIF -s $UNIVERSE -d $INTLAN $LOGGING
/sbin/ipchains -A output -j REJECT -i $EXTIF -s $UNIVERSE -d $INTLAN2 $LOGGING

# Reject outgoing traffic from the local net from the external interface,
# stuffed masquerading, deny and log
/sbin/ipchains -A output -j REJECT -i $EXTIF -s $INTLAN -d $UNIVERSE $LOGGING
/sbin/ipchains -A output -j REJECT -i $EXTIF -s $INTLAN2 -d $UNIVERSE $LOGGING

# SMB
#
/sbin/ipchains -A output -j REJECT -i $EXTIF -p udp -s $EXTIP -d $UNIVERSE 137 $LOGGING
/sbin/ipchains -A output -j REJECT -i $EXTIF -p udp -s $EXTIP -d $UNIVERSE 138 $LOGGING
/sbin/ipchains -A output -j REJECT -i $EXTIF -p udp -s $EXTIP -d $UNIVERSE 139 $LOGGING
/sbin/ipchains -A output -j REJECT -i $EXTIF -p udp -s $EXTIP 137 -d $UNIVERSE 137 $LOGGING
/sbin/ipchains -A output -j REJECT -i $EXTIF -p udp -s $EXTIP 138 -d $UNIVERSE 138 $LOGGING
/sbin/ipchains -A output -j REJECT -i $EXTIF -p udp -s $EXTIP 139 -d $UNIVERSE 139 $LOGGING

# RPC.
#
/sbin/ipchains -A output -j REJECT -i $EXTIF -p udp -s $EXTIP -d $UNIVERSE sunrpc $LOGGING
/sbin/ipchains -A output -j REJECT -i $EXTIF -p udp -s $EXTIP sunrpc -d $UNIVERSE $LOGGING

# Mountd.
#
/sbin/ipchains -A output -j REJECT -i $EXTIF -p udp -s $EXTIP -d $UNIVERSE 635 $LOGGING
/sbin/ipchains -A output -j REJECT -i $EXTIF -p udp -s $EXTIP 635 -d $UNIVERSE $LOGGING

# PPTP.
#
/sbin/ipchains -A output -j REJECT -i $EXTIF -p tcp -s $EXTIP -d $UNIVERSE 1723 $LOGGING
/sbin/ipchains -A output -j REJECT -i $EXTIF -p udp -s $EXTIP -d $UNIVERSE 1723 $LOGGING

# Remote Winsock.
#
/sbin/ipchains -A output -j REJECT -i $EXTIF -p tcp -s $EXTIP -d $UNIVERSE 1745 $LOGGING
/sbin/ipchains -A output -j REJECT -i $EXTIF -p udp -s $EXTIP -d $UNIVERSE 1745 $LOGGING

# NFS.
#
/sbin/ipchains -A output -j REJECT -i $EXTIF -p tcp -s $EXTIP -d $UNIVERSE 2049 $LOGGING
/sbin/ipchains -A output -j REJECT -i $EXTIF -p tcp -s $EXTIP 2049 -d $UNIVERSE $LOGGING
/sbin/ipchains -A output -j REJECT -i $EXTIF -p udp -s $EXTIP -d $UNIVERSE 2049 $LOGGING
/sbin/ipchains -A output -j REJECT -i $EXTIF -p udp -s $EXTIP 2049 -d $UNIVERSE $LOGGING

# PcAnywhere.
#
#/sbin/ipchains -A output -j REJECT -i $EXTIF -p tcp -s $EXTIP -d $UNIVERSE 5631 $LOGGING
#/sbin/ipchains -A output -j REJECT -i $EXTIF -p udp -s $EXTIP -d $UNIVERSE 5631 $LOGGING
#/sbin/ipchains -A output -j REJECT -i $EXTIF -p tcp -s $EXTIP -d $UNIVERSE 5632 $LOGGING
# /sbin/ipchains -A output -j REJECT -i $EXTIF -p udp -s $EXTIP -d $UNIVERSE 5632 $LOGGING

# Xwindows.
#
# NOTE: See variable section above for the example range (6000:6007 by default)
# Xwindows can use far more than just ports 6000-6007.
#
/sbin/ipchains -A output -j REJECT -i $EXTIF -p tcp -s $EXTIP -d $UNIVERSE $XWINDOWS_PORTS $LOGGING
/sbin/ipchains -A output -j REJECT -i $EXTIF -p udp -s $EXTIP -d $UNIVERSE $XWINDOWS_PORTS $LOGGING

# NetBus.
/sbin/ipchains -A output -j REJECT -i $EXTIF -p tcp -s $EXTIP -d $UNIVERSE 12345 $LOGGING
/sbin/ipchains -A output -j REJECT -i $EXTIF -p tcp -s $EXTIP -d $UNIVERSE 12346 $LOGGING

# NetBus Pro.
/sbin/ipchains -A output -j REJECT -i $EXTIF -p tcp -s $EXTIP -d $UNIVERSE/0 20034 $LOGGING

# BackOrofice
/sbin/ipchains -A output -j REJECT -i $EXTIF -p udp -s $EXTIP -d $UNIVERSE/0 31337 $LOGGING

# Win Crash Trojan.
/sbin/ipchains -A output -j REJECT -i $EXTIF -p tcp -s $EXTIP -d $UNIVERSE/0 5742 $LOGGING

# Socket De Troye.
/sbin/ipchains -A output -j REJECT -i $EXTIF -p tcp -s $EXTIP -d $UNIVERSE/0 30303 $LOGGING

# Unknown Trojan Horse (Master's Paradise [CHR])
/sbin/ipchains -A output -j REJECT -i $EXTIF -p tcp -s $EXTIP -d $UNIVERSE/0 40421 $LOGGING

# Trinoo UDP flooder - Please note this port will probably change over time
/sbin/ipchains -A output -j REJECT -i $EXTIF -p tcp -s $EXTIP 27665 -d $UNIVERSE/0 $LOGGING
/sbin/ipchains -A output -j REJECT -i $EXTIF -p udp -s $EXTIP 27444 -d $UNIVERSE/0 $LOGGING
/sbin/ipchains -A output -j REJECT -i $EXTIF -p udp -s $EXTIP 31335 -d $UNIVERSE/0 $LOGGING

#IPSEC VPNs
/sbin/ipchains -A output -j REJECT -i $EXTIF -p tcp -s $EXTIP 500 -d $UNIVERSE/0 $LOGGING
/sbin/ipchains -A output -j REJECT -i $EXTIF -p tcp -s $EXTIP -d $UNIVERSE/0 500 $LOGGING

#--------------------------------------------------------------------
# Allow all High Ports for return traffic.
#
# Some day this ruleset will be stateful and we won't have to do this
#
echo " - Enabling all output REPLY (TCP/UDP) traffic on high ports."
/sbin/ipchains -A output -j ACCEPT -p tcp -s $EXTIP $UNPRIVPORTS -d $UNIVERSE
/sbin/ipchains -A output -j ACCEPT -p udp -s $EXTIP $UNPRIVPORTS -d $UNIVERSE

#--------------------------------------------------------------------
# Catch All Rule
#--------------------------------------------------------------------
echo " - Final output catch all rule."

# All other outgoing is denied and logged. This ruleset should catch
# everything including samba that hasn't already been blocked.
#
/sbin/ipchains -A output -j REJECT -s $UNIVERSE -d $UNIVERSE $LOGGING

#********************************************************************
# Forwarding Rules
#********************************************************************
#
echo "----------------------------------------------------------------------"
echo "Forwarding Rules:"

#--------------------------------------------------------------------
# Enable TCP/IP forwarding and masquerading from the Internal LAN
#--------------------------------------------------------------------

# Diald Users:
#
# You need this rule to allow the sl0 SLIP interface to receive
# traffic to then bring the interface up.
#
# Disabled by default
#
/sbin/ipchains -A forward -j MASQ -i sl0 -s $INTLAN -d $UNIVERSE/0
/sbin/ipchains -A forward -j MASQ -i s10 -s $INTLAN2 -d $UNIVERSE/0

#--------------------------------------------------------------------
# Enable TCP/IP forwarding and masquerading from the Internal LAN
#------------------------------------

maandag 23 oktober 2000 20:46

Acties:

#--------------------------------------------------------------------
# Enable TCP/IP forwarding and masquerading from the Internal LAN
#--------------------------------------------------------------------

# Masquerade from local net on local interface to anywhere.
#
echo " - Enable IP Masquerading from the internal LAN."
/sbin/ipchains -A forward -j MASQ -i $EXTIF -s $INTLAN -d $UNIVERSE
/sbin/ipchains -A forward -j MASQ -i $EXTIF -s $INTLAN2 -d $UNIVERSE

# Turn on IP Forwarding in the Linux kernel
#
# There are TWO methods of turning on this feature. The first method is the
# Red Hat way. Edit the /etc/sysconfig/network file and change the
# "FORWARD_IPV4" line to say:
#
# FORWARD_IPV4=true
#
# The second method is shown below and can executed at any time while the
# system is running.
#
echo " - Enabling IP forwarding."
echo "1" > /proc/sys/net/ipv4/ip_forward

# Catch all rule, all other forwarding is denied.
#
/sbin/ipchains -A forward -j ACCEPT -s $INTLAN -d $INTLAN2
/sbin/ipchains -A forward -j ACCEPT -s $INTLAN2 -d $INTLAN
/sbin/ipchains -A forward -j REJECT -s $UNIVERSE -d $UNIVERSE $LOGGING

#********************************************************************
# The end
#********************************************************************
echo "----------------------------------------------------------------------"
echo -e "TrinityOS IPCHAINS Firewall implemented.\n\n"
$1

mijn firewall script.

22555 wordt doorgestuurd naar 192.168.1.10
2000-2050 naar 192.168.1.10
2051-2100 naar 192.168.1.30
2101-2150 naar 192.168.1.40
2150-2200 naar 192.168.1.40

/edit
er ontbrak een stukje van het script

maandag 23 oktober 2000 22:11

Acties:

wat een gigantisch script..
ik ga er eens mee stoeien

ProMods ETS2 uitbreiding - Mijn tijdszone is UTC+13

maandag 23 oktober 2000 23:10

Acties:

Verwijderd

Topicstarter

/usr/sbin/ipmasqadm portfw -l

hier laat ie na een tijdje wat info zien, dus dat is goed.

Bij echo $EXTIP in het script laat hij nix zien bij uitvoer. Omdat het lijkt me net zo logisch is om bij EXTIP me ip adres neer te zetten had ik dat owk ff geprobeert maar dat geeft nog steeds de zelfde error.

maandag 23 oktober 2000 23:16

Acties:

<BLOCKQUOTE><font size=1 face=Verdana, Arial, Helvetica>quote:</font><HR>Op 23 oktober 2000 23:10 schreef Januz_ het volgende:
/usr/sbin/ipmasqadm portfw -l

hier laat ie na een tijdje wat info zien, dus dat is goed.

Bij echo $EXTIP in het script laat hij nix zien bij uitvoer. Omdat het lijkt me net zo logisch is om bij EXTIP me ip adres neer te zetten had ik dat owk ff geprobeert maar dat geeft nog steeds de zelfde error.[/quote]hij moet bij 'echo $EXTIP' echt wat laten zien, als ik die regels in een scriptje gooi geeft hij gewoon 200.200.200.200 in beeld. Als hij daar niets laat zien, dan is EXTIP leeg en zal je altijd errors blijven houden.

maandag 23 oktober 2000 23:28

Acties:

<BLOCKQUOTE><font size=1 face=Verdana, Arial, Helvetica>quote:</font><HR>Op 23 oktober 2000 22:11 schreef -ScuL- het volgende:
wat een gigantisch script..
ik ga er eens mee stoeien :)[/quote]Is voornamelijk het firewall script van TrinityOS, aangepast aan mijn thuissituatie waarbij er 2 lokale netwerken aan mijn server hangen. En waarbij ik een paar portfw regels nodig had.

dinsdag 24 oktober 2000 08:20

Acties:

Verwijderd

Topicstarter

Als ik gewoon m'n vast ip d'r inzet laat ie het wel zien, alleen als ik daar dan zeg '/sbin/ifconfig | grep -A 4 eth0 | awk '/inet/ { print $2 }' | sed -e s/addr://' dan laat ie nix zien

dinsdag 24 oktober 2000 13:33

Acties:

Dan moet je ff kijken of de verkorte versie van die regel wel werkt bij jou.

dinsdag 24 oktober 2000 18:47

Acties:

Verwijderd

Topicstarter

Als ik daar gewoon m'n IP adres invul omdat ik het weet en zelden verandert, komt toch op het zelfde neer?? Lijkt me niet echt het probleem van dit alles

dinsdag 24 oktober 2000 19:30

Acties:

Ja, als je gewoon een vast ip hebt, dan kan je het gewoon erin zetten natuurlijk.

dinsdag 24 oktober 2000 22:45

Acties:

Verwijderd

Topicstarter

maar...

Nou doet ie het nog niet...

dinsdag 24 oktober 2000 23:30

Acties:

dus kort samengevat:
als je de regel gewoon los intikt werkt het wel, maar als je hem in een scriptje zet doet hij het niet?

/edit
echo dan gewoon ff de regels die je met het scriptje probeert te maken

woensdag 25 oktober 2000 09:44

Acties:

Verwijderd

Topicstarter

Of die regel het doet weet ik niet, maar als ik in het script m'n ip op geef, kijg ik nog steeds de error van lokaal adres/poort

woensdag 25 oktober 2000 12:57

Acties:

Wat krijg je als je het volgende script runt:

EXTIP="200.200.200.200"
echo $EXTIP

port=2000
while [ $port -le 2010 ]
do
echo /usr/sbin/ipmasqadm portfw -a -P tcp -L $EXTIP $port -R 192.168.0.2 $port
port=$((port+1))
done

Ik krijg dan:

200.200.200.200
/usr/sbin/ipmasqadm portfw -a -P tcp -L 200.200.200.200 2000 -R 192.168.0.2 2000
/usr/sbin/ipmasqadm portfw -a -P tcp -L 200.200.200.200 2001 -R 192.168.0.2 2001
/usr/sbin/ipmasqadm portfw -a -P tcp -L 200.200.200.200 2002 -R 192.168.0.2 2002
/usr/sbin/ipmasqadm portfw -a -P tcp -L 200.200.200.200 2003 -R 192.168.0.2 2003
/usr/sbin/ipmasqadm portfw -a -P tcp -L 200.200.200.200 2004 -R 192.168.0.2 2004
/usr/sbin/ipmasqadm portfw -a -P tcp -L 200.200.200.200 2005 -R 192.168.0.2 2005
/usr/sbin/ipmasqadm portfw -a -P tcp -L 200.200.200.200 2006 -R 192.168.0.2 2006
/usr/sbin/ipmasqadm portfw -a -P tcp -L 200.200.200.200 2007 -R 192.168.0.2 2007
/usr/sbin/ipmasqadm portfw -a -P tcp -L 200.200.200.200 2008 -R 192.168.0.2 2008
/usr/sbin/ipmasqadm portfw -a -P tcp -L 200.200.200.200 2009 -R 192.168.0.2 2009
/usr/sbin/ipmasqadm portfw -a -P tcp -L 200.200.200.200 2010 -R 192.168.0.2 2010

woensdag 25 oktober 2000 16:17

Acties:

ip_masq_icq werkte inderdaad perfect toen ik nog icq99b gebruikte. Maar ik zag in icq2000 toch wel veel voordelen. Dus ben nu ook voor de bijl gegaan

.
En nu werkt ip_masq_icq inderdaad niet meer. Ik denk dat ik toch maar met socks5 proxy aan ge gang ga, want dat hele gedoe van port forwarding, daar wil ik niet aan beginnen

Dan ga je namelijk in feite mensen van buitenaf directe toegang tot je interne PC's geven. Oftewel, ze hoeven alleen maar te kijken op welke poorten jouw ICQ opereert en dan kunnen ze ook een Trojan oid. op die poorten instellen en bij jou naar binnen smokkelen

(als jij zo gek bent om die aan te nemen natuurlijk

)

Marstek Venus 5.12kWh v151, CT002 V118, CT003 V116 DSMR5.5, PV 11xEnphase IQ7+ Z-O, 5xEnphase IQ7+ N-W - ~4,7Wp theoretisch, ~3,5Wp praktijk.

woensdag 25 oktober 2000 16:48

Acties:

Verwijderd

Topicstarter

ik owk!! betekend dit vooruit gang?

woensdag 25 oktober 2000 16:54

Acties:

Ja, want als los een regeltje intikken werkt en je maakt met dat script precies zo'n zelfde regeltje, dan moet het naar mijn idee werken. Als je nu echo weghaalt bij dat script dan vind ik dat hij geen foutmelding meer moet geven.

donderdag 26 oktober 2000 00:29

Acties:

ik krijg dat hele portforwarding niet aan de praat hoe ik het ook probeer... bovendien om veiligheids technische redenen lijkt een SOCKS proxy me inderdaad beter (veiliger)..
wat is de beste manier om dit op te zetten?
(er zit er vast wel eentje in SuSE)

ProMods ETS2 uitbreiding - Mijn tijdszone is UTC+13

donderdag 26 oktober 2000 07:34

Acties:

Verwijderd

Topicstarter

Het script draait nou zonder errors, alleen files ontvangen is er nog steeds niet bij.

donderdag 26 oktober 2000 13:36

Acties:

Heb je icq ingesteld op de poorten die je doorgestuurd hebt?

En zo ja, staan de poorten die je met het script wil doorsturen wel genoemd bij /usr/sbin/ipmasqadm portfw -l?

donderdag 26 oktober 2000 23:16

Acties:

Verwijderd

Topicstarter

Daar geeft ie weer:

TCP inethostnaam ipclient port port 10 10

(bij poort 2003 staat er bij port cfinger)

De error message bij een transfer is verander van dat ie geen poort kon vinden in "cant establish a direct connection to user"

donderdag 26 oktober 2000 23:40

Acties:

Heb je je icq ingesteld op die poorten die je doorstuurt? Ergens bij connection, firewall settings. "Use the following TCP listen ports for incoming events".

vrijdag 27 oktober 2000 00:17

Acties:

Verwijderd

Topicstarter

ahum ahum, na het goede ip adres in gevuld te hebben loopt ie als een zonnetje :-)
many thanx!
als ge een filmke of sow wilt zeg je het maar :-)

zaterdag 11 november 2000 12:23

Acties:

Nee hè?

<BLOCKQUOTE><font size=1 face=Verdana, Arial, Helvetica>quote:</font><HR>Op 08 oktober 2000 10:37 schreef Phantom_ het volgende:
file transfer module? huh?

zet va deze regeltjes in je rc.ipchains (of zoiets):<BLOCKQUOTE><font size=1 face=Verdana, Arial, Helvetica>code:</font><HR>ipchains -A forward -b -s 10.0.0.69/24 -j MASQ -p all[/quote]waarbij 10.0.0.69 het ip wordt van de client waar icq op staat...zo krijgt dat ip full access. dan ken je alles doen.. ook dcc[/quote]\

In welke file moet dit nu precies?

Mijn rc.local file staat al vol met tekst.

Is het misschien beter om het PMFirewall
proggy te uninstallen en E-smith erop
te gooien aangezien veel meer mensen
hier ervaring mij blijken te hebben?

Nog iets: jij hebt het over een ipnummer
van 1 client maar wat als je er 3 achter
je server hebt hangen? Krijg je dan
drie keer dat stukkie code?

Gelieve niet te roken in mijn kantoorkamer!
Ik ben meer verslaafd aan sex, dan jij aan roken, maar je ziet mij toch ook niet neuken op kantoor?

zaterdag 11 november 2000 12:26

Acties:

Nee hè?

<BLOCKQUOTE><font size=1 face=Verdana, Arial, Helvetica>quote:</font><HR>Op 27 oktober 2000 00:17 schreef Januz_ het volgende:
ahum ahum, na het goede ip adres in gevuld te hebben loopt ie als een zonnetje :-)
many thanx!
als ge een filmke of sow wilt zeg je het maar :-)[/quote]Whoa .het werkt? Cool... hey zeggus..
Ik heb RedHat en jij SuSE? maar dat moet
niet veel uitmaken toch?

Zegges stap voor stap wat je gedaan hebt
alsjeblieft. Heb je nog andere
firewall scripts geinstalleerd na je
linux-installatie zelf?
Of heb je die hele HOWTO-stappenlijst gevolgd?

Gelieve niet te roken in mijn kantoorkamer!
Ik ben meer verslaafd aan sex, dan jij aan roken, maar je ziet mij toch ook niet neuken op kantoor?

zaterdag 11 november 2000 12:34

Acties:

Nee hè?

Hey Shadax, jij draait toch ook
RedHat?

Kan ik dat gewoon die pleuris-lange script
van je copy pasten? Waar (of in welke file/dir)
moet het komen te staan?

Zijn er nog regels te schrappen, aangezien
dat script ook nog allemaal modules
aan het laden is voor IRC en quake etc.
die ik toch allemaal nog niet geinstalleerd
heb.

En jij zegt dat er twee netwerken aan je
server hangen dus misschien kan dat ook
uit je script

Gelieve niet te roken in mijn kantoorkamer!
Ik ben meer verslaafd aan sex, dan jij aan roken, maar je ziet mij toch ook niet neuken op kantoor?

zaterdag 11 november 2000 17:05

Acties:

Ja, ik heb Redhat 6.x, dat "pleuris-lange script" heet bij mij /etc/init.d/rc.firewall. Er wordt bij mij aangeroepen door mijn /etc/ppp/ip-up.local script, omdat ik een dailup kabelverbinding heb. Als je een vast ip hebt om te internetten dan zou je hem gewoon in /etc/init.d/rc.local kunnen aanroepen.

Ja, je kan er dingen uit gooien, sowieso draai ik veel dingen op die server, als je geen web/ftp/pop enzo server hebt, kan je dat allemaal weghalen.

En ja, je kan er dingen uit halen omdat ik 2 netwerken hebt, alles met "INTINF2" en "INTIP2" en "INTLAN2" kan je weg halen.

zaterdag 11 november 2000 18:06

Acties:

Huh

Wat zie ik hier een gedonder met ICQ???
Ik heb RH62 en ICQ2000b (de laatste)
ik heb GEEN icqmasq module geinstalleerd, alleen deze instelling:

bij Connections: onder Tabblad Server

login.icq.com
poort 4000
Using firewall Not using Proxy
Keep connection alive

Ikheb geen moeite met het versturen en krijgen van files, werkt zonder enige moeite.

zaterdag 11 november 2000 18:49

Acties:

Ging om icq achter een linux firewall, dat werkt niet met files ontvangen als je geen proxy draait, geen porten forward en geen masq modules draait.

zaterdag 11 november 2000 22:20

Acties:

Nee hè?

What the HO!?

Na die instellingen verandert te hebben
werkte het gewoon!!!

Ultra cool...

Spanx!

Gelieve niet te roken in mijn kantoorkamer!
Ik ben meer verslaafd aan sex, dan jij aan roken, maar je ziet mij toch ook niet neuken op kantoor?

zaterdag 11 november 2000 22:20

Acties:

Dit krijg je als je m'n script installeert en een portscan doet.

(op het moment staan poort 81 en 82 ook open voor webservers)

<table border=0 cellpadding=0 cellspacing=0 width=100% >
<tr><td width=100% BGCOLOR="#0000ED" ><a name="TOP"></a> </td>
<td BGCOLOR="#0000ED" align=right>[img]/images/banner_new1.jpg[/img]</td>
</tr></table>
<table border=0 cellpadding=0 cellspacing=0 width=100% ><tr>
<td valign=bottom width=90% ><font color="#0000FF" size=6>Port Scanning Results</font></td>
<td valign=top width=63><a href=/securitytest/howtoscan.html >[img]/images/lnk_back.gif[/img]</a></td>
<td valign=top width=63><a href=/securitytest/scanresults.html >[img]/images/lnk_next.gif[/img]</a></td>
<td valign=top width=63><a href=/securitytest/index.html >[img]/images/lnk_index.gif[/img]</a></td>
<td valign=top width=93><a href=/contact.html >[img]/images/lnk_contact.gif[/img]</a></td>
</tr></table>
<font FACE='Verdana, Arial, Helvetica' size=2>The Port Scan security test you requested was completed for your computer at IP: 200.200.200.200
This test was done by attempting to establish a connection to a list of known ports as well as all system ports
below number 1024 on your computer. The report set forth below shows all the ports on your computer that
are open and may accept connections from anyone on the internet.</font>
<hr size=1 align=left noshade><table width=100% border=0 cellpadding=3 cellspacing=4><tr valign=center><td colspan=4><font FACE='Verdana, Arial, Helvetica' size=2>Windows file sharing information</font></td></tr>
<tr valign=center><td BGCOLOR="#FFFFCC" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>This computer did not respond to a netbios name query.</font></td></tr>
</table>
<font FACE='Verdana, Arial, Helvetica' size=2>Windows filesharing summary: Your compter appears secure from Windows filesharing attacks because your computer will not respond to any queries about Windows file sharing. Compared to average Windows computers, this is very good! </font>
<table width=100% border=0 cellpadding=3 cellspacing=4>
<tr valign=center><td colspan=5><hr size=1 align=left noshade>
<font FACE='Verdana, Arial, Helvetica' size=2>Scanning host server.com at IP: 200.200.200.200</font></td></tr>
<tr valign=center ><th nowrap width=50 BGCOLOR="#FFFFCC" align=left><font FACE='Verdana, Arial, Helvetica' size=2>Port</font></td>
<th nowrap width=50 BGCOLOR="#FFFFCC" align=left><font FACE='Verdana, Arial, Helvetica' size=2>Protocol</font></td>
<th nowrap width=50 BGCOLOR="#FFFFCC" align=left><font FACE='Verdana, Arial, Helvetica' size=2>Service</font></td>
<th nowrap width=50 BGCOLOR="#FFFFCC" align=center><font FACE='Verdana, Arial, Helvetica' size=2>Status</font></td>
<th width=100% BGCOLOR="#FFFFCC" align=center><font FACE='Verdana, Arial, Helvetica' size=2>Comments</font></td></tr>
<tr valign=center><td BGCOLOR="#FFFFFF" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>21 </font></td>
<td BGCOLOR="#FFFFFF" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>tcp </font></td>
<td BGCOLOR="#FFFFFF" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>ftp </font></td>
<td BGCOLOR="#F8F800" nowrap align=center><font FACE='Verdana, Arial, Helvetica' size=2>open </font></td>
<td BGCOLOR="#FFFFFF" align=left><font FACE='Verdana, Arial, Helvetica' size=1>An FTP server is active and may pose a security risk. Many server OS packages include an FTP server by default. If you are not publishing files with FTP, you should consider shutting down your FTP server. Leaving this port open will attract attention to your server. Several FTP server packages have known security holes as noted in CERT Advisory CA-99-13 (Multiple Vulnerabilities in WU-FTPD) and CA-97.27 (FTP Bounce)
</font><font FACE='Verdana, Arial, Helvetica' color='#C85828' size=1>A Timeout occurred waiting for data on port. No data was returned by the remote host.</font>
</td>
</tr><tr valign=center><td BGCOLOR="#FFFFCC" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>22 </font></td>
<td BGCOLOR="#FFFFCC" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>tcp </font></td>
<td BGCOLOR="#FFFFCC" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>ssh </font></td>
<td BGCOLOR="#F8F800" nowrap align=center><font FACE='Verdana, Arial, Helvetica' size=2>open </font></td>
<td BGCOLOR="#FFFFCC" align=left><font FACE='Verdana, Arial, Helvetica' size=1>SSH or Secure Shell access uses encryption to allow secure remote access to a server.
Server SSH daemons have serious security issues with Buffer overflow problems. Read the CERT Advisory
<a href="http://www.cert.org/advisories/CA-99-15-RSAREF2.html">CA-99-15</a> on this topic.
</font><font FACE='Verdana, Arial, Helvetica' color='#C85828' size=1></font>
</td>
</tr><tr valign=center><td BGCOLOR="#FFFFFF" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>25 </font></td>
<td BGCOLOR="#FFFFFF" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>tcp </font></td>
<td BGCOLOR="#FFFFFF" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>smtp </font></td>
<td BGCOLOR="#F8F800" nowrap align=center><font FACE='Verdana, Arial, Helvetica' size=2>open </font></td>
<td BGCOLOR="#FFFFFF" align=left><font FACE='Verdana, Arial, Helvetica' size=1>An e-mail server (SMTP) appears to be active on this server. Sendmail and other mail server packages have known exploits in older versions. E-mail servers may also be used as an e-mail relay for junkmailers. Because of this, intruders may check your system more thoroughly if this port is open.
</font><font FACE='Verdana, Arial, Helvetica' color='#C85828' size=1>A Timeout occurred waiting for data on port. No data was returned by the remote host.</font>
</td>
</tr><tr valign=center><td BGCOLOR="#FFFFCC" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>53 </font></td>
<td BGCOLOR="#FFFFCC" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>udp </font></td>
<td BGCOLOR="#FFFFCC" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>domain </font></td>
<td BGCOLOR="#F8F800" nowrap align=center><font FACE='Verdana, Arial, Helvetica' size=2>open or filtered </font></td>
<td BGCOLOR="#FFFFCC" align=left><font FACE='Verdana, Arial, Helvetica' size=1>This port is used by the DNS server software called bind/named to resolve DNS Name lookups for clients. This port may be required only if you are providing DNS services on this computer. Older versions of bind/named have known security holes that can allow denial of service attacks and may allow attackers to gain access to your system. For more information, read CERT Advisory CA-99-14 and CA-98.05 (Multiple Vulnerabilities in BIND
) ISC has a current version listing and security notice for of bind/named v4.x and v8.x for Unix. Complete information about bind/named is available at http://www.isc.org/
</font><font FACE='Verdana, Arial, Helvetica' color='#C85828' size=1></font>
</td>
</tr><tr valign=center><td BGCOLOR="#FFFFFF" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>80 </font></td>
<td BGCOLOR="#FFFFFF" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>tcp </font></td>
<td BGCOLOR="#FFFFFF" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>http </font></td>
<td BGCOLOR="#F8F800" nowrap align=center><font FACE='Verdana, Arial, Helvetica' size=2>open </font></td>
<td BGCOLOR="#FFFFFF" align=left><font FACE='Verdana, Arial, Helvetica' size=1>Your computer appears to have an active webserver running on it. Many web servers have security exploits, especially Microsoft's Personal Web server (PWS) and systems running Microsoft Frontpage Extensions. Webservers on UNIX hosts (such as Linux) are also exposed to problems with CGI scripts including buffer overruns and perl scripts that are poorly written.
</font><font FACE='Verdana, Arial, Helvetica' color='#C85828' size=1>Server: Apache/1.3.14 (Unix) PHP/4.0.2 </font>
</td>
</tr><tr valign=center><td BGCOLOR="#FFFFCC" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>81 </font></td>
<td BGCOLOR="#FFFFCC" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>tcp </font></td>
<td BGCOLOR="#FFFFCC" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>hosts2-ns </font></td>
<td BGCOLOR="#F8F800" nowrap align=center><font FACE='Verdana, Arial, Helvetica' size=2>open </font></td>
<td BGCOLOR="#FFFFCC" align=left><font FACE='Verdana, Arial, Helvetica' size=1>Port listing: HOSTS2 Name Server
This port is currently accpets connections from anyone on the internet. This may be a security risk depending on the software that is managing this port.
</font><font FACE='Verdana, Arial, Helvetica' color='#C85828' size=1></font>
</td>
</tr><tr valign=center><td BGCOLOR="#FFFFFF" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>82 </font></td>
<td BGCOLOR="#FFFFFF" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>tcp </font></td>
<td BGCOLOR="#FFFFFF" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>xfer </font></td>
<td BGCOLOR="#F8F800" nowrap align=center><font FACE='Verdana, Arial, Helvetica' size=2>open </font></td>
<td BGCOLOR="#FFFFFF" align=left><font FACE='Verdana, Arial, Helvetica' size=1>Port listing: XFER Utility
This port is currently accpets connections from anyone on the internet. This may be a security risk depending on the software that is managing this port.
</font><font FACE='Verdana, Arial, Helvetica' color='#C85828' size=1></font>
</td>
</tr><tr valign=center><td BGCOLOR="#FFFFCC" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>110 </font></td>
<td BGCOLOR="#FFFFCC" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>tcp </font></td>
<td BGCOLOR="#FFFFCC" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>pop-3 </font></td>
<td BGCOLOR="#F8F800" nowrap align=center><font FACE='Verdana, Arial, Helvetica' size=2>open </font></td>
<td BGCOLOR="#FFFFCC" align=left><font FACE='Verdana, Arial, Helvetica' size=1>Email clients use POP to retrieve e-mail from a mail server. If you are not running an e-mail server, you should close this port.
If you are using POP on this server, you should make sure the software is up to date, as serious security issues exist in older
versions of many POP server software packages. For more information, read the CERT Advisory
<A HREF="http://www.cert.org/advisories/CA-97.09.imap_pop.html" target="helpwindow">CA-97.09</A>
on Buffer Overflow in Some Implementations of POP/IMAP Servers.

Specific information on QPopper
pop server is available on the Eudora website.
</font><font FACE='Verdana, Arial, Helvetica' color='#C85828' size=1>+OK POP3 server.com v7.59 server ready</font>
</td>
</tr><tr valign=center><td BGCOLOR="#FFFFFF" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>113 </font></td>
<td BGCOLOR="#FFFFFF" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>tcp </font></td>
<td BGCOLOR="#FFFFFF" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>auth </font></td>
<td BGCOLOR="#F8F800" nowrap align=center><font FACE='Verdana, Arial, Helvetica' size=2>open </font></td>
<td BGCOLOR="#FFFFFF" align=left><font FACE='Verdana, Arial, Helvetica' size=1>Port listing: ident, tap, Authentication Service
This port is currently accpets connections from anyone on the internet. This may be a security risk depending on the software that is managing this port.
</font><font FACE='Verdana, Arial, Helvetica' color='#C85828' size=1></font>
</td>
</tr><tr valign=center><td BGCOLOR="#FFFFCC" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>12345 </font></td>
<td BGCOLOR="#FFFFCC" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>tcp </font></td>
<td BGCOLOR="#FFFFCC" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>NetBus </font></td>
<td BGCOLOR="#A5FF9F" nowrap align=center><font FACE='Verdana, Arial, Helvetica' size=2>filtered </font></td>
<td BGCOLOR="#FFFFCC" align=left><font FACE='Verdana, Arial, Helvetica' size=1>Port listing: NetBus backdoor trojan
This port does not respond to any connection requests, and is probably filtered by a firewall rule.
</font><font FACE='Verdana, Arial, Helvetica' color='#C85828' size=1></font>
</td>
</tr><tr valign=center><td BGCOLOR="#FFFFFF" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>27374 </font></td>
<td BGCOLOR="#FFFFFF" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>tcp </font></td>
<td BGCOLOR="#FFFFFF" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>subseven </font></td>
<td BGCOLOR="#A5FF9F" nowrap align=center><font FACE='Verdana, Arial, Helvetica' size=2>filtered </font></td>
<td BGCOLOR="#FFFFFF" align=left><font FACE='Verdana, Arial, Helvetica' size=1>Port listing: SubSeven remote access trojen
This port does not respond to any connection requests, and is probably filtered by a firewall rule.
</font><font FACE='Verdana, Arial, Helvetica' color='#C85828' size=1></font>
</td>
</tr><tr valign=center><td BGCOLOR="#FFFFCC" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>31337 </font></td>
<td BGCOLOR="#FFFFCC" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>tcp </font></td>
<td BGCOLOR="#FFFFCC" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>Elite </font></td>
<td BGCOLOR="#A5FF9F" nowrap align=center><font FACE='Verdana, Arial, Helvetica' size=2>filtered </font></td>
<td BGCOLOR="#FFFFCC" align=left><font FACE='Verdana, Arial, Helvetica' size=1>Port listing: Sometimes interesting stuff can be found here
This port does not respond to any connection requests, and is probably filtered by a firewall rule.
</font><font FACE='Verdana, Arial, Helvetica' color='#C85828' size=1></font>
</td>
</tr><tr valign=center><td BGCOLOR="#FFFFFF" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>31337 </font></td>
<td BGCOLOR="#FFFFFF" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>udp </font></td>
<td BGCOLOR="#FFFFFF" nowrap align=left><font FACE='Verdana, Arial, Helvetica' size=2>BackOrifice </font></td>
<td BGCOLOR="#A5FF9F" nowrap align=center><font FACE='Verdana, Arial, Helvetica' size=2>filtered </font></td>
<td BGCOLOR="#FFFFFF" align=left><font FACE='Verdana, Arial, Helvetica' size=1>Port listing: cDc Back Orifice remote admin tool

</font><font FACE='Verdana, Arial, Helvetica' color='#C85828' size=1></font>
</td>
</tr></table>
<hr size=1 align=left noshade>Port scan completed in 57 minutes, 18 seconds.</p>
What's Next?
Now that you know which ports are open on your computer, you should read the
<a href=/securitytest/scanresults.html>Scanning Results</a> page for more information on
how to secure your computer, or return to the <a href=/securitytest/index.html>index page</a>.
<hr size=1 align=left noshade><table border=0 width=100%><tr><td align=left valign=bottom>

Secure Design is now offering a new e-mail news letter by
mailing list. As a member of the list, you will receive first
notice of free upgrades to software as well as new product
announcements. We strongly encourage you to join this mailing list.</p>

To join, visit the contact page on our website at
<a href="/contact.html">http://www.sdesign.com/contact.html</a>
or simply click here to be subscribed as shadax@server.NOSPAM automatically

</td><td align=right valign=bottom><form action="/cgi-bin/listadd.cgi" window="helpwindow" method=POST>
<input type=hidden size=30 name=EMAILADDRESS value="shadax@server.NOSPAM" ><input type=submit name="COMMAND" value="Subscribe" ></p>
</form>
</td></tr></table><hr size=1 align=left noshade><table border=0 width=100%><tr><td align=left valign=bottom >[img]/images/icon_sdlogo.gif[/img]
<font FACE='Verdana, Arial, Helvetica' size=3>Secure Design </font><font FACE='Verdana, Arial, Helvetica' size=1>®</font>

<font FACE='Verdana, Arial, Helvetica' size=1>PO Box 1066, Beaverton OR 97075
Ph: +1-503-259-2624 Fax: +1-503-259-2639
Copyright © 1999-2000 Secure Design, All rights reserved.</font></td>
<td align=right valign=bottom>
<table border=0><tr>
<td align=center><a href=/securitytest/howtoscan.html >[img]/images/q_left.gif[/img]</a></td>
<td align=center><a href=#TOP >[img]/images/q_top.gif[/img]</a></td>
<td align=center><a href=/securitytest/scanresults.html >[img]/images/q_right.gif[/img]</a></td>
</tr></table>
<font FACE='Verdana, Arial, Helvetica' size=1>
<a href="mailto:support@sdesign.com">support@sdesign.com[img]/images/q_mailto.gif[/img]</a>

Compiled: Sep 30 2000

Page Generated: Sat Nov 11 12:31:23 2000
</font></td>
</tr></table>

zaterdag 11 november 2000 22:38

Acties:

<BLOCKQUOTE><font size=1 face=Verdana, Arial, Helvetica>quote:</font><HR>Op 11 november 2000 22:20 schreef Mujo het volgende:
What the HO!?

Na die instellingen verandert te hebben
werkte het gewoon!!!

Ultra cool...

Spanx![/quote]mmm, nou ja, met icq99b werkte het niet automatisch....

Januz_, jij had toch icq 2000, is dit topic dat een beetje nutteloos geweest?

Pagina: 1

Reageer