iptables loggt trotz offenem port

fragenfrager · Beitrag von **fragenfrager** » 04.04.2007 13:01:17

mahlzeit,
seit mein owner match in iptables funktioniert versuch ich neue minimale regeln zu basteln. Eine davon sieht u.a. so aus:

iptables -A OUTPUT -p tcp -o eth0 -s 192.168.0.3 --dport 80 -m owner --cmd-owner lynx -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --sport 80 -d 192.168.0.3 -m state --state ESTABLISHED -j ACCEPT

wenn ich jetzt z.b. lynx heise.de starte bekomm ich aber in den logs lauter OUTPUT-Meldungen ungefähr so:

Apr 4 12:54:37 orkoz kernel: ALLOUT==>IN= OUT=eth0 SRC=192.168.0.3 DST=193.99.144.85 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=49507 DF PROTO=TCP SPT=33043 DPT=80 WINDOW=28800 RES=0x00 ACK PSH FIN URGP=0
Apr 4 12:54:37 orkoz kernel: ALLOUT==>IN= OUT=eth0 SRC=192.168.0.3 DST=193.99.144.80 LEN=64 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=33042 DPT=80 WINDOW=6432 RES=0x00 ACK PSH FIN URGP=0
Apr 4 12:54:37 orkoz kernel: ALLOUT==>IN= OUT=eth0 SRC=192.168.0.3 DST=193.99.144.80 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=49507 DF PROTO=TCP SPT=33042 DPT=80 WINDOW=6432 RES=0x00 ACK PSH FIN URGP=0

da mir lynx ja heise.de zeigt und es um port 80 geht muss doch da noch irgendwas anderes versuchen auf port 80 nach draußen zu gelangen was nicht auf das owner-match passt? was könnte das sein?

mragucci · Beitrag von **mragucci** » 04.04.2007 15:18:17

Code: Alles auswählen

nslookup 193.99.144.80
Server:  XXX
Address:  XXX

Name:    redirector.heise.de
Address:  193.99.144.80


nslookup 193.99.144.85
Server:  XXX
Address:  XXX

Name:    www.heise.de
Address:  193.99.144.85

Beantwortet sicher Deine Frage...

fragenfrager · Beitrag von **fragenfrager** » 04.04.2007 20:54:52

ne das muss was anderes sein denn

iptables -A OUTPUT -p tcp -o eth0 -s 192.168.0.3 -m owner --cmd-owner nslookup -m state --state NEW,ESTABLISHED -j ACCEPT

hinzugefügt ändert nix. Oder ich hab das falsch verstanden...
Kann man auch nach command loggen? also so dass mir das log verrät welcher befehl das paket erzeugt hat.

gms · Beitrag von **gms** » 04.04.2007 22:20:40

fragenfrager hat geschrieben:ne das muss was anderes sein denn
iptables -A OUTPUT -p tcp -o eth0 -s 192.168.0.3 -m owner --cmd-owner nslookup -m state --state NEW,ESTABLISHED -j ACCEPT
hinzugefügt ändert nix.

also vom nslookup kommt diese Logmeldung sicherlich nicht, warum auch ?
der Browser verwendet sicherlich nicht "nslookup" für die Namensauflösung und wenn würde der UDP Port 53 (domain) verwendet werden und nicht der TCP Port 80 wie in deinem Log:

Code: Alles auswählen

Apr 4 12:54:37 orkoz kernel: ALLOUT==>IN= OUT=eth0 SRC=192.168.0.3 DST=193.99.144.85 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=49507 DF PROTO=TCP SPT=33043 DPT=80
WINDOW=28800 RES=0x00 ACK PSH FIN URGP=0

bei diesen Paketen sind immer die Flags "ACK PSH FIN" gesetzt, da wurde die Verbindung (zumindest aus Sicht von Netfilter) nicht korrekt abgebaut. Ich würde diese Pakete einfach vor der Log-Regel droppen ( in der OUTPUT Chain )

Gruß
gms

fragenfrager · Beitrag von **fragenfrager** » 08.04.2007 23:11:16

danke für den Tip mit dem droppen, daran dachte ich nicht.
Jetzt gabs da aber noch paar Pakete die geloggt wurden halt mit anderen tcp-flag-Kombinationen... hab nun folgende dropeinträge:

Code: Alles auswählen

iptables -A OUTPUT -p tcp -o eth0 -s 192.168.0.3 --tcp-flags ALL ACK,PSH,FIN -j DROP
iptables -A OUTPUT -p tcp -o eth0 -s 192.168.0.3 --tcp-flags ALL ACK,FIN -j DROP
iptables -A OUTPUT -p tcp -o eth0 -s 192.168.0.3 --tcp-flags ALL RST -j DROP
iptables -A OUTPUT -p tcp -o eth0 -s 192.168.0.3 --tcp-flags ALL ACK -j DROP
iptables -A OUTPUT -p tcp -o eth0 -s 192.168.0.3 --tcp-flags ALL ACK,RST -j DROP

soweit hat sich die log auch beruhigt, bekomm nur dann und wann mal sowas noch rein:

Apr 8 21:32:44 orkoz kernel: ALLOUT==>IN= OUT=eth0 SRC=192.168.0.3 DST=192.168.0.2 LEN=61 TOS=0x00 PREC=0x00 TTL=64 ID=22439 DF PROTO=UDP SPT=32777 DPT=53 LEN=41
Apr 8 21:32:44 orkoz kernel: ALLOUT==>IN= OUT=eth0 SRC=192.168.0.3 DST=192.168.0.2 LEN=61 TOS=0x00 PREC=0x00 TTL=64 ID=22439 DF PROTO=UDP SPT=32777 DPT=53 LEN=41
Apr 8 22:02:11 orkoz -- MARK --
Apr 8 22:02:44 orkoz kernel: ALLOUT==>IN= OUT=eth0 SRC=192.168.0.3 DST=192.168.0.2 LEN=61 TOS=0x00 PREC=0x00 TTL=64 ID=5831 DF PROTO=UDP SPT=32777 DPT=53 LEN=41
Apr 8 22:02:44 orkoz kernel: ALLOUT==>IN= OUT=eth0 SRC=192.168.0.3 DST=192.168.0.2 LEN=61 TOS=0x00 PREC=0x00 TTL=64 ID=5831 DF PROTO=UDP SPT=32777 DPT=53 LEN=41
Apr 8 22:22:11 orkoz -- MARK --
Apr 8 22:32:44 orkoz kernel: ALLOUT==>IN= OUT=eth0 SRC=192.168.0.3 DST=192.168.0.2 LEN=61 TOS=0x00 PREC=0x00 TTL=64 ID=54759 DF PROTO=UDP SPT=32777 DPT=53 LEN=41
Apr 8 22:32:44 orkoz kernel: ALLOUT==>IN= OUT=eth0 SRC=192.168.0.3 DST=192.168.0.2 LEN=61 TOS=0x00 PREC=0x00 TTL=64 ID=54759 DF PROTO=UDP SPT=32777 DPT=53 LEN=41

udp Port 53 nach draußen ist freigegeben für browser, jabber, xmms... habe nur browser und jabber am laufen...
Mir fällt auf dass die log sich jede halbe stunde wiederholt. Was könnte das denn sein? exim, ssh sonstwas?
Hat einer ne Idee wie man den paketerzeugenden command loggen könnte? So wüsste ich was das ist.