Re: [iptables] udp blocken

ja hallo erstmal,...

Juergen P. Meier wrote:

> Jan Luehr <jluehr@xxxxxxx>:
>> ich stehe hier vor einem kleinen Problem. Ich betreibe hier ein Gateway
>> für ein sehr kleines Netzwerk, das Gleichzeitig auch einen NFS,
>> TFTP-Server und dhcp-Server (zum Booten eines Clients) laufen soll. Als
>> OS kommt derzeit Debian Sarge zum Einsatz.
>> Der Zugriff aus dem Internet auf diese Dienste soll unterbunden
>> werden.DHCP und TFTP sind da eher nicht das Problem.
>
> Wieso? Gerade TFTP ist ein enormes Sicherheitsrisiko.

Im worst case könnte sich jemand den Kernel meines alten Notebooks
herunterladen. So what?

>> Der NFS-Server bereitet mir mehr sorgen. Ich kann zwar in hosts.allow und
>> exports Richtlinien festlegen, ich sehe jedoch keine Möglichkeit den
>> Zugriff auf die entsprechenden Ports zu unterbinden, denn das Gateway
>> soll mit DNS und NTP heraus dürfen.
>
> Das sind jeweils voellig verschiedenen ports. Das kann man sogar ohne
> State statisch filtern. DNS inbound sollte - wenn du keinen DNS server
> nach aussen hin anbietest - auf source-port=53 limitiert werden. Die
> wenigsten DNS server Implementierungen verwenden fuer Antwortpakete
> auf DNS Anfragen einen anderen source-Port. Und NTP ist src=dst=123
> (bzw. alle anderen NTP Implementierungen kann man getrost als Defekt
> disqualifizieren).
>
>> Erlaube ich mit iptables deren Ports für hereinkommenden Traffic, so
>> könnte jeder, der der udp-Pakete von diesen Ports aus kommend schickt,
>> auf NFS Zugreifen. Er würde zwar ein permission denied bekommen - aber
>> nur solange keine Fehler im Server gefunden werden.
>
> Das NFS Protokoll verwendet ueblicherweise Port 2049, insbesondere
> wenn kein RPC dienst von aussen ansprechbar ist, um diesen Port zu
> erfragen.
> Damit reicht es, wenn du von aussen Anfragen an Port 111 (RPC)
> und 2049 (nfs) blockierst.
>
>> Gibt es Ansätze für eine Art udp-Connection-Tracking?
>
> Ja. ip_conntrack.o und ipt_state betrachten UDP ebenfalls
> "Verbindungsorientiert".
>
>> Die Ports von NFS für den ausgehenden Traffic zu verbieten ist leider
>> auch keine besonders gute Lösung, da sich statd/mountd immer mal wieder
>> neue Ports krallen.
>
> statd und mountd sind nicht das problem bei NFS, und der nfsd
> verwendet aus histroischen Gruenden (NFS ist aelter als RPC) mit
> Vorliebe den Port 2049. Und fuer die dynamischen Protokolle reicht es,
> den RPC-Port zu blockieren.
>
>> Any hints?
>
> Vereinfachtes Schnippsel eines Regelwerks (eth0 = LAN, eth1 = uplink)
>
> -A OUTPUT -o eth1 -p udp -j ACCEPT
>
> [...]
Danke, sieht interessant aus.

Keep smiling
yanosz
--
PHP ist ein Akronym für People hate PHP
.

Relevant Pages

  • Re: [SLE] NFS with SuSEfirewall2
    ... >swich off both firewalls. ... I just need info which ports have to be open in addition ... >as nfs client, but it still does: it is not sufficient to switch off FW ... Check the headers for your unsubscription address For additional commands send e-mail to suse-linux-e-help@suse.com Also check the archives at http://lists.suse.com Please read the FAQs: suse-linux-e-faq@suse.com ...
    (SuSE)
  • Re: [iptables] udp blocken
    ... > Zugriff auf die entsprechenden Ports zu unterbinden, denn das Gateway soll ... Outbound läßt Du DNS und NTP zu. ... > jeder, der der udp-Pakete von diesen Ports aus kommend schickt, auf NFS ...
    (de.comp.security.firewall)
  • Re: iptable in fc5
    ... NFS requires more than just port 2049. ... In fact by default those other ports are not fixed, thus a problem to firewall well. ... # adjusted to use features supported by original Fedora Core 2 init scripts. ... service nfslock restart ...
    (Fedora)
  • Re: Firewall problems with NFS
    ... to the GUI configuration interface not opening the firewall when I check the NFS protocol support. ... It seems to only allow use as an NFS client, since that worked fine when I tested it. ... Is there really no way to open the ports for NFS server other than by hand? ... No, you really don't to open the ports, Yes you do if you want to specify which machines get access to the port. ...
    (Fedora)
  • Re: NFS versus the firewall
    ... having with a file server i was attempting to access. ... The difficulty with nfs is that it uses a few auxiliary rpc services, ... which by default get started on a random port. ... ports, and open these ports in the firewall. ...
    (Fedora)
Loading