Toon posts:

[shorewall] firewall blijft maar open staan

Pagina: 1
Acties:

dinsdag 13 april 2004 21:43

Acties:
  • VROEM!
  • Registratie: Februari 2000
  • Laatst online: 18-05-2025

VROEM!

broembroem!

Topicstarter
Ik heb een servertje in beheer met daarop debian stable en shorewall als firewall. Policies zijn als volgt ingesteld:
code:
1
2
3
4
5
6

#CLIENT         SERVER          POLICY          LOG LEVEL
team    $FW     REJECT  -
loc     all     ACCEPT  -
fw      all     ACCEPT  -
all     all     REJECT  -
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE


dan wat regels:
code:
1
2
3
4
5
6
7

#RESULT         CLIENT(S) SERVER(S)     PROTO   PORT(S) CLIENT PORT(S) ADDRESS
ACCEPT          net     $FW             tcp     10000   10000
ACCEPT          team    $FW     tcp     10000   10000
ACCEPT          team    $FW     udp     10000   10000
ACCEPT          net     $FW             tcp     ssh
ACCEPT          net     $FW             tcp     ftp
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE


Verder nog masquerading ingesteld van intern naar buiten, dat loopt verder oke.
Buiten dit niets ingesteld qua filtering/routering.

als ik nu met iptables -L kijk, krijg ik in bijna elke sectie de volgende regel:
code:
1

ACCEPT     all  --  anywhere             anywhere


En als ik een poortenscan uitvoer is ook alles waar maar een programma op zou kunnen draaien open. Waar zou dit in kunnen zitten? Poorten 1002 en 1720 zijn ook open, dat is me eerder nooit gebeurd.

Met lsof en top zie ik geen processen die me verdacht voorkomen.

Ik heb nog even gechekt wat die poorten zijn: 1002 is volgens oreilly.com "unassigned" en 1720 is het volgende:
code:
1
2

h323hostcall    1720/tcp    h323hostcall
h323hostcall    1720/udp    h323hostcall


oh ja, ldap is ook open, terwijl ik er niets mee doe

Ik kan met netstat en lsof geen processen vinden die die poorten gebruiken, terwijl er toch wel degelijk iets reageert!
Ik heb hier een beetje een link gevoel bij.....

[ Voor 19% gewijzigd door VROEM! op 13-04-2004 23:09 ]

ieeeepppppp :P

woensdag 14 april 2004 01:45

Acties:

Verwijderd

Doe je een scan met nmap? Lees dan even de FAQ na.
Zo te zien heb je Shorewall geconfigureerd met webmin. Eerst staat er '$FW' en verder zie ik 'fw' staan. Zit daar verschil in? Ik heb zelf de volgende policy voor Shorewall:
code:
1
2
3
4
5
6
7
8

#SOURCE         DEST            POLICY          LOG LEVEL       LIMIT:BURST
loc             net             REJECT          info
loc             loc             REJECT          info
fw              net             ACCEPT
net             all             DROP            info
# THE FOLLOWING POLICY MUST BE LAST
all             all             REJECT          info
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE

Zet voor de zekerheid ook even de "net all drop" policy ertussen.

Ik block dus alles en gooi alleen de inkomende en uitgaand poorten open die ik nodig heb:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

#ACTION         SOURCE          DEST            PROTO   DEST    SOURCE  ORIGINAL
ACCEPT          fw             net             tcp     53
ACCEPT          fw             net             udp    53
ACCEPT          loc             fw              tcp     53
ACCEPT          loc             fw              udp    53
ACCEPT          net            fw              tcp     22
ACCEPT          loc             fw              tcp     22
ACCEPT          loc             fw              tcp     80
ACCEPT          loc             fw              tcp     443
#       Webmin poort
ACCEPT          loc             fw              tcp     10000
#       Uitgaand verkeer regelen:
#       In policy staat alles van loc -> net REJECT
ACCEPT          loc             net             icmp   8
ACCEPT          loc             net             icmp   11
ACCEPT          loc             net             tcp     21
ACCEPT          loc             net             tcp     22
ACCEPT          loc             net             tcp     80
ACCEPT          loc             net             tcp     110
etc..

[ Voor 3% gewijzigd door Verwijderd op 14-04-2004 01:52 ]

woensdag 14 april 2004 08:09

Acties:
  • VROEM!
  • Registratie: Februari 2000
  • Laatst online: 18-05-2025

VROEM!

broembroem!

Topicstarter
Ik heb $FW overal in fw veranderd, dat maakt niets uit. Ook niet met net all drop ertussen.
De scan doe ik vanaf een andere PC met languard port scanner, er worden dus alleen tcp poorten gescand en niet udp poorten.

ieeeepppppp :P

woensdag 14 april 2004 08:17

Acties:

Verwijderd

Wat misschien handig is in dit soort gevallen is een frontend. Ik gebruik webmin o.a. als frontend voor shorewall. Werkt perfect en erg duidelijk.... Maar er zijn vast wel meer shorewall rules generators..

woensdag 14 april 2004 08:26

Acties:
  • VROEM!
  • Registratie: Februari 2000
  • Laatst online: 18-05-2025

VROEM!

broembroem!

Topicstarter
Verwijderd schreef op 14 april 2004 @ 08:17:
Wat misschien handig is in dit soort gevallen is een frontend. Ik gebruik webmin o.a. als frontend voor shorewall. Werkt perfect en erg duidelijk.... Maar er zijn vast wel meer shorewall rules generators..
De regels die ik nu heb zijn gemaakt met webmin, later handmatig $FW in fw gewijzigd. Ik heb meerdere firewalls ingesteld, dat zo'n ding nu open blijft staan is compleet nieuw voor me.

[ Voor 12% gewijzigd door VROEM! op 14-04-2004 08:26 ]

ieeeepppppp :P

woensdag 14 april 2004 10:34

Acties:
  • Hans
  • Registratie: Juni 1999
  • Niet online

Hans

je policy bevat geen net to all regel, dus alles van buitenaf komt uiteindelijk uit op all-all-reject. Sommige portscanners zien rejected connections als semi-open.

Verder zou het wel handig zijn als je even post wat zone "team" in houdt, en evt wat stukjes uit je syslog zodat we kunnen zien wat er gebeurt.

[ Voor 3% gewijzigd door Hans op 14-04-2004 10:35 ]

woensdag 14 april 2004 10:58

Acties:

Verwijderd

Op al mijn servers installeer ik als eerste Shorewall en het bevalt me tot op heden uitstekend. Doet precies wat het moet doen en is zeer logisch opgebouwd.
GFI Languard gaf bij mij ook wel eens 'vreemde' resultaten. Check eens met een van deze deze online security scanners of het echt zo erg is:
http://www.moresafe.nl/demo.html
http://www.securitymetrics.com/portscan.adp
http://www.voltronkru.com...ools/vkportscan/index.php

woensdag 14 april 2004 13:31

Acties:
  • VROEM!
  • Registratie: Februari 2000
  • Laatst online: 18-05-2025

VROEM!

broembroem!

Topicstarter
Online scannen gaat niet werken, de server staat achter een vpn gateway van een TU faculteit. Je moet dus eerst een VPN verbinding maken voor je er uberhaupt bij kunt. Die scanners maken geen VPN verbinding en gaan er dus niet bij kunnen.

ieeeepppppp :P

maandag 19 april 2004 22:39

Acties:
  • VROEM!
  • Registratie: Februari 2000
  • Laatst online: 18-05-2025

VROEM!

broembroem!

Topicstarter
Heeft iemand nog een idee waar ik iets zou kunnen vinden? Ik heb de hele shorewall documentatie doorgespit en kan eigenlijk niets vinden. Die data is me best dierbaar en ik zou graag die firewall dicht zien.

ieeeepppppp :P

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq