IPTABLES dropt keine UDP Pakete

[sinus23]

Hallo zusammen,

ich verzweifel gerade und mit google bin ich auch nicht weiter gekommen.

Ich habe hier ein Debian 10 System mit einem 4.19er Kernel

Wenn ich remote einen portscan mit tcp laufen lasse ist alles dicht. Jedoch mit udp sieht die Sache anderes aus. Dienste wie NTP und DNS sind weiterhin erreichbar, ohne diese expliziet erlaubt zu haben.

Habe ich im folgendem Skript etwas vergessen?

Das FW Skript:

Code: Alles auswählen

#!/bin/bash
LOGLIMIT=20
IPT=/usr/sbin/iptables

LAN=eth0
WAN=eth1

# alle alten Regeln entfernen
$IPT -F
$IPT -X
$IPT -F -t filter
$IPT -F -t nat
$IPT -F -t mangle
$IPT -t filter -X
$IPT -t nat -X
$IPT -t mangle -X
$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT

echo "Setze Default-Policy auf DROP"
$IPT -P INPUT DROP
$IPT -P FORWARD DROP

# aktiviere IP-Forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# und das Routing aktivieren
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
$IPT -t nat -A POSTROUTING -o $WAN -j MASQUERADE

# im Loopback (127.0.0.1) koennen wir jedem trauen
$IPT -A INPUT -i lo -j ACCEPT

# erlaube Anfragen nur fuer das lokale netzwerk auf dem router
$IPT -A INPUT -i $LAN -j ACCEPT

# erlaube Pings
$IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Bin über jede Denkanregung dankbar.

Gruß
Stephan

[bluestar]

Bin über jede Denkanregung dankbar.

Ich würde dir erst msl raten von DROP auf REJECT zu wechseln, Drop führt bei TCP dazu, dass das erste Paket mehrfach an deinen Rechner gesendet wird, bevor der Empfänger letztlich aufgibt.

[mat6937]

Wenn ich remote einen portscan mit tcp laufen lasse ist alles dicht. Jedoch mit udp sieht die Sache anderes aus. Dienste wie NTP und DNS sind weiterhin erreichbar, ohne diese expliziet erlaubt zu haben.

Wie hast Du das mit udp festgestellt? Hast Du einen udp-Portscan gemacht oder hast Du ein NTP-Client bzw. ein DNS-Tool zum testen benutzt?

[sinus23]

Wie hast Du das mit udp festgestellt? Hast Du einen udp-Portscan gemacht oder hast Du ein NTP-Client bzw. ein DNS-Tool zum testen benutzt?

Nachdem @bluestar mir den Tipp gab von drop auf reject zu wechseln, was ich auch tat und feststellte das es nicht funktionierte. Scheinbar gibt es nur accept oder drop in der Standard-Policy.

Darauf hin stand alles auf Accept, was ich zum Anlass nahm um einen weiteren Portscan durchzuführen und sah das die besagten Ports nun expliziet auf open stehen und nicht mehr auf filtered von daher stimmt doch alles.

Und @mat6937 um Deine Frage zu beantworten, habe es getestet und die Ports waren nicht zugänglich.

Ähm, aber was mir eben aufällt, ich habe keine Regel für mein OpenVPN-Server und die Verbindung steht, wie kann das sein? Hätte ich hier nicht UPD 1194 freigeben müsen?

Falls jetzt der HInweis kommen sollte, aber meine Policy stehen wieder auf drop.

Viele Grüße
Stephan

[mat6937]

Ähm, aber was mir eben aufällt, ich habe keine Regel für mein OpenVPN-Server und die Verbindung steht, wie kann das sein? Hätte ich hier nicht UPD 1194 freigeben müsen?

Falls jetzt der HInweis kommen sollte, aber meine Policy stehen wieder auf drop.

Lass mal die default policy der INPUT chain auf DROP und teste mit folgender zusätzlicher iptables-Regel:

Code: Alles auswählen

iptables -I INPUT 1 -p udp --dport 1194 -j REJECT

Poste nach einem Verbindungsversuch von außen, die Ausgabe von:

Code: Alles auswählen

iptables -nvx -L INPUT

[eggy]

Hat die Kiste nur ipv4 oder auch v6?

[bluestar]

Kannst du uns mal die Ausgabe von iptables-save zeigen

[sinus23]

Werde ich morgen gerne nachholen, jedoch werde ich heute nichts mehr reißen können, denn hab' mich selbst ausgesperrt

[TomL]

Habe ich im folgendem Skript etwas vergessen?

Vor dem Hintergrund einiger sehr irritierender Kommentare im Script würde ich empfehlen, die Frage nach dem UDP-Drop erst mal nach hinten zu stellen.... ich glaube, dass ist im Moment wirklich das unwichtigste.

Wichtiger wäre die Antwort auf eggy's Frage, ob auf dem System auch IPv6 aktiv ist. Und noch wichtiger wäre die Frage, welche Aufgabe der Rechner in welchem Umfeld hat... um festzustellen, ob Deine iptables-Regeln überhaupt irgendeinen Effekt haben.

Ist er bzw. hat er:
IPv6: ja oder nein?
lokales Endanwender-System hinter DSL-Router: ja oder nein?
dedizierter Server (mit welchen Services auch immer) : ja oder nein
von außen (über das Internet) erreichbare Zugänge eingerichtet: ja oder nein?
tatsächlich lan-lokaler Router-Funktionalität (lt. Script-Comments): ja oder nein?

Was soll der Rechner tun, welche Aufgabe hat er? Vor wem oder was soll der Paketfilter unter welchen Umständen schützen?

[sinus23]

Guten Abend,

also das mit dem Open VPN konnte ich inzwischen nachvollziehen. Denn da das Skript "ESTABLISHED,RELATED" enthält, hält er die Verbindung. Nachdem ich die VPN komplett neu aufbauen wollte, hatte es nicht mehr funktioniert, wie es sein sollte.

Ich denke, wir können das Thema vorerst schließen.

Vielen Dank für Eure Unterstützung.