[LUGA] Mit freundlicher Unterstützung von:
OCG

Mail Thread Index


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [luga] iptables-Timeouts



On 06/20/2015 08:18 PM, Peter J. Holzer wrote:

> -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A FORWARD -p icmp -j Srv_icmp
> -A FORWARD -i eth1 -j Accept_log
> -A FORWARD -d 212.17.106.129/32 -p tcp -m tcp --dport 80 -j Accept_log
> -A FORWARD -d 212.17.106.135/32 -p tcp -m tcp --dport 80 -j Accept_log
> ...

Ah ja, das erklärt es wohl. Was hat dich daran gehindert, statt dessen
"-A FORWARD -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j Accept_log"
zu nehmen? Dann sollte auch bei deinem urspr. Test wirklich nach 5 Tagen
Schluss sein.
> 
> Die erste Regel erlaubt Pakete für bestehende Connections und so Zeug
> wie FTP. Die zweite ist hier irrelevant. Die dritte erlaubt alle Pakete
> von innen nach außen, die hat also mein Paket sicher durchgelassen und -
> so nehme ich an - dabei eine neue Verbindung etabliert. 

Das scheint in der Tat so zu sein. Jetzt kenne ich die Interna von NF
zwar wirklich nicht, aber dem "Berufsfirewallmenschen" in mir stellen
sich da die Nackenhaare auf. Eine stateful Firewall, möchte man meinen,
sollte doch zumindest (wenigstens per default, falls nicht explizit
anders angewiesen) auch auf den Zustand der TCP-Session achten. Dass ein
Paket außerhalb jeder TCP-Session-Logik eine neue Session auf der FW
kreieren kann, erscheint mir eigentlich nur im Lab beim Experimentieren
nützlich. Oder vielleicht noch im Umfeld von ganz alter Firmware (80er),
die TCP/IP nicht vollständig unterstützt.

> Was kann passieren? 

Auf die Schnelle fällt mir nur ein Szenario ein, bei dem ein Stück
Software bei dir im internen Netz (eth1) dazu gebracht wird, eine solche
Pseudo-Verbindung zu einem externen (malicious) Host:Port "aufzubauen".
Danach wird deine Firewall alle Pakete von dem Host:Port brav an die IP
durch-natten, von der das Paket kam (Skype funktioniert so ähnlich).
Müsste ich aber noch genauer drüber nachdenken.

Oder eben das beobachtete Phänomen, dass Verbindungen einfach nicht
zugehen (nicht mal durch Rebooten der Firewall).

Oder (vorläufig nur) ästhetisch gesehen: Aus Sicht deines internen
Netwerkes stuft deine FW TCP auf die Zustandslosigkeit von UDP zurück.

lg /markus





powered by LINUX the choice of a gnu generation
linux user group austria;
Suche
Suche
Letzte Änderung:
webmaster@luga.at
Juni 2015