Re: Reject und bridging Firewall

---

• From: Arno Zielke <nospam@xxxxxxxxx>
• Date: Mon, 25 Jul 2005 20:38:59 +0200

---

On Sat, 23 Jul 2005 13:56:35 +0200, Florian Weimer wrote:

>> weiss hier jemand ob es ein gängiges Verfahren gibt um einer
>> bridging Firewall (linux/iptables) das Rejecten beizubingen?
>> Im Idealfall sollte von aussen alles so aussehen als ob der
>> angesprochene Server das Packet selbst rejected hätte.

>Das ist nicht der Idealfall, weil es die Fehlersuche extrem erschwert.
>Du weißt im Falle eines Falles nicht gleich, wo der
>Konfigurationsfehler steckt, und mußt mühsam tcpdump-Ausgaben
>vergleichen.

>Mit bridge-nf sollte iptables ganz normal ICMP-Pakete erzeugen
>können.

Jo, das mit dem erzeugen geht soweit.
Dem Adapter an der Firewall habe ich die 10.0.0.1 gegben.
Dann habe ich von aussen versucht eine Telnetverbindung aufzubauen.
Mit tcpdump habe ich gesehen das dass entsprechende icmp-packet
(tcp port telnet unreachable) auch tatsaechlich abgeschickt
wurde. Nur ist es leider nicht angekommen.

>Oder gibt es hosts, die bei directly connected subnets die
>Quelladresse von ICMP-Nachrichten genauer validieren?

Offenbar gibt es pingelige Ciscos. (ingress/egress)
Die Cisco wollte nicht mal auf einen arp-request antworten,
also habe ich die mac dann händisch eingetragen.
Geholfen hat's nicht, wie gesagt das obige icmp Paket ist nicht
beim Empfaenger angekommen.

Für Juergens Vorschlag mit proxy-arp bräuchte ich eine freie IP.
Die haette ich aber dann dem ausseren Adapter der Bridge gegeben um
damit zumindest ordentliche icmp unreach messages zu verschicken.

Um zu meiner urspünglichen Idee zurueck zu kommen.
Ich denke das es so kompliziert nicht sein kann, ein TCP/RST oder ICMP
Paket zu basteln in dem als Absender die IP des urspünglichen Empfängers
drinsteht. Der Mirror-target im Netfilter faket ja auch den Absender.

Und dann soll es noch einen Patch für Netfilter gegeben haben der ein
'REJECT --fake-source' implementiert. Das waere eigentlich schon OK.
Werde wohl nochmal bei netfilter.org schmoekern muessen.

Ciao
Arno
.

---

• References:
  • Reject und bridging Firewall
    • From: Arno Zielke
  • Re: Reject und bridging Firewall
    • From: Florian Weimer

• Prev by Date: Re: DOS Angriff abwehren
• Next by Date: Re: Routing / Firewall im Rechenzentrum
• Previous by thread: Re: Reject und bridging Firewall
• Next by thread: Kriterien für Firewall-Management Tool auf Basis von Iptables
• Index(es):
  • Date
  • Thread

---

Relevant Pages Re: Fernwartung Notebook Dyndns-PcAnywhere ... Firewall gehört? ... >Du mußt in den Eigenschaften der Firewall ping und pcAnywhere ... aber an ICMP habe ich nicht gedacht. ... Next by Date: ... (microsoft.public.de.german.windowsxp.sonstiges) Re: Strange PPPoe problem ... The new service uses PPPoe - not a problem, or so I thought - I ... have PPPoe on my firewall. ... And if I do PPPoe on the provided D-Link router, ... like icmp 3/4 packets are being dropped somewhere. ... (Debian-User) Re: network problems 7.0-p3: sendto: Operation not permitted ... This usually indicates firewall rules on the local machine, ... This indicates a high number of ICMP packets being received. ... 1 into my cable modem and nother into a linksys 16port vpn router. ... 01:47:12.196000 arp who-has 181.131.216.67.181.static.hargray.net tell ... (freebsd-stable) Re: ICMP timestamp request is allowed from arbitrary hosts ... There is no registry entry that specifically blocks individual ICMP types on ... enable the Windows Firewall on the XP machines and configure the rules to do ... Point is Windows XP has the ... (microsoft.public.windowsxp.security_admin) Re: Am I being hacked? ... > incoming TCP packets are 'Allowed' on those ports. ... The term "stealth" is misleading. ... The online services that claim to test your firewall can be misleading ... but block normal ICMP echo requests. ... (comp.security.firewalls)

---

We are proud to have Web Hosting and Rack Housing from 9 Net Avenue Deutschland.
(12)