ip wird nicht geblockt

[nixdorf]

Hallo, ich nutze die iptables. iptables -L -v ergibt folgenden Output:

Code: Alles auswählen

berlin02:~# iptables -L -v
Chain INPUT (policy ACCEPT 43M packets, 1849M bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp  --  any    any     anywhere             anywhere            tcp dpt:12337 
    0     0 DROP       udp  --  any    any     anywhere             anywhere            udp dpt:12337 
    0     0 DROP       tcp  --  any    any     anywhere             anywhere            tcp dpt:12337 
    0     0 DROP       udp  --  any    any     anywhere             anywhere            udp dpt:12337 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp  --  any    any     anywhere             anywhere            tcp dpt:12337 
    0     0 DROP       udp  --  any    any     anywhere             anywhere            udp dpt:12337 
    0     0 DROP       tcp  --  any    any     anywhere             anywhere            tcp dpt:12337 
    0     0 DROP       udp  --  any    any     anywhere             anywhere            udp dpt:12337 

Chain OUTPUT (policy ACCEPT 112K packets, 26M bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp  --  any    any     anywhere             anywhere            tcp dpt:12337 
    0     0 DROP       udp  --  any    any     anywhere             anywhere            udp dpt:12337 
    0     0 DROP       tcp  --  any    any     anywhere             anywhere            tcp dpt:12337 
    0     0 DROP       udp  --  any    any     anywhere             anywhere            udp dpt:12337

tcpdump -i eth0 zeigt mir aber noch folgendes an:

Code: Alles auswählen

14:01:06.671636 IP 85.196.90.2.43694 > meineip.53: 12337 op6% [b2&3=0x3233] [13879a] [13365q] [14393n] [16706au][|domain]

Wie kann das kommen?

Gruß Nixdorf

[rendegast]

Code: Alles auswählen

14:01:06.671636 IP 85.196.90.2.43694 > meineip.53: 12337 op6% [b2&3=0x3233] [13879a] [13365q] [14393n] [16706au][|domain]

Hier wird wohl aus der Ferne vom Port 43694 auf Port 53 bei Dir (Dein DNS-Server?) zugegriffen,
was die 12337 bedeutet, kann ich ohne Blick in die 'man tcpdump' nicht sagen.
(Der Paket-Zähler?)

[Danielx]

Wie kann das kommen?

Port 53 ist von außen erreichbar, denn du hast keine iptables-Regel gesetzt, die das verhindern könnte.

Gruß,
Daniel

[nixdorf]

Hallo,

da hatte ich mich vertan, es ist natürlich der Port 53. wenn das der Port für DNS ist würde das auch erklären, warum ich immer einen bind-Prozess mit einer Auslastung von 50 % CPU - Last habe.

Ich habe meine iptables noch mal angepasst:

Code: Alles auswählen

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  anywhere             anywhere            tcp dpt:domain 
DROP       udp  --  anywhere             anywhere            udp dpt:domain 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  anywhere             anywhere            tcp dpt:domain 
DROP       tcp  --  anywhere             anywhere            tcp dpt:domain 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  anywhere             anywhere            tcp dpt:domain 
DROP       udp  --  anywhere             anywhere            udp dpt:domain

nmap localhost zeigt:

Code: Alles auswählen

53/tcp   filtered domain

aber bei tcpdump -i eth0 -n kommt immer noch massenhaft:

Code: Alles auswählen

17:24:55.974394 IP 85.196.90.2.43694 > meineip.53: 12337 op6% [b2&3=0x3233] [13879a] [13365q] [14393n] [16706au][|domain]

Hat da noch wer eine Idee, warum der Port 53 nicht gesperrt ist?

Gruß Nixdorf

[nixdorf]

so, jetzt hat es geklappt...

Vielen Dank noch mal für die Denkanstöße...

Gruß Nixdorf