blocke ich damit eine kompleete ip range

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
fhilgers
Posts: 30
Joined: 2003-07-07 20:16

blocke ich damit eine kompleete ip range

Post by fhilgers » 2004-09-29 12:06

oder ist da ein fehler drinn.

habe das b siher so in iptables drinne stehen

Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 66.28.0.0/16 anywhere
DROP all -- 66.28.0.0/16 anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

für info wäre ich dankbar.

smur
RSAC
Posts: 169
Joined: 2003-05-26 16:00
Location: Mannheim

Re: blocke ich damit eine kompleete ip range

Post by smur » 2004-10-01 01:56

Die Antwort lautet ja: du blockst damit komplett 66.28.0.0/16 für Incoming. Ergo is nich viel mit TCP Verbindungen dorthin..

Gruß,
Nico

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: blocke ich damit eine kompleete ip range

Post by captaincrunch » 2004-10-01 08:04

Ergo is nich viel mit TCP Verbindungen dorthin..
<erbsenzählerei>
Genauer gesagt: mit TCP-Verbindungen von dort.
</erbsenzählerei>

;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

smur
RSAC
Posts: 169
Joined: 2003-05-26 16:00
Location: Mannheim

Re: blocke ich damit eine kompleete ip range

Post by smur » 2004-10-01 14:05

<klugscheiss>sowohl als auch da der handshake nie funktionieren wird und somit keine Verbindung zustande kommt, egal in welche Richtung</klugscheiss> :P

Grüssle,
Nico

gonzo_ac
Posts: 92
Joined: 2003-06-17 18:43

Re: blocke ich damit eine kompleete ip range

Post by gonzo_ac » 2004-10-01 20:10

1 zu 0 für smur :lol:

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: blocke ich damit eine kompleete ip range

Post by captaincrunch » 2004-10-02 08:15

Nicht wirklich...jedenfalls nicht, wenn man sich die iptables-Rules mal genauer ansieht. Da geht's nun einmal nur um die Source-Adressen, und ich glaube kaum, dass ausgehende Verbindungen vom Rechner des OP die INPUT-Table jemals mit einer dieser Source-Adressen passieren werden.

Daher bleibe ich dabei, dass seine Aussage falsch ist. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

smur
RSAC
Posts: 169
Joined: 2003-05-26 16:00
Location: Mannheim

Re: blocke ich damit eine kompleete ip range

Post by smur » 2004-10-02 14:01

Klär mich bitte auf, sollte ich mich irren. TCP Handshake:

A sendet SYN Paket an B
B sendet SYN/ACK an A
A sendet ACK an B

-> die Verbindung steht.

Egal ob der Rechner des OP nun A oder B ist, der Handshake scheitert entweder im ersten oder zweiten Schritt. Und da ich eine TCP-Verbindung als Verbindung _nach_ dem Handshake verstehe(TCP ist ein verbindungsorientiertes Protokoll, vorher existiert keine Verbindung) kann keine TCP-Verbindung zwischen A und B zustande kommen. Comments?

rootmaster
RSAC
Posts: 536
Joined: 2002-04-28 13:30
Location: Hannover

Re: blocke ich damit eine kompleete ip range

Post by rootmaster » 2004-10-02 14:13

Smur wrote:zwischen A und B zustande kommen. Comments?
schon mal was von syn-flooding gehört ??

dann wirste verstehen, was CC meint ;)

"back to the roots"

smur
RSAC
Posts: 169
Joined: 2003-05-26 16:00
Location: Mannheim

Re: blocke ich damit eine kompleete ip range

Post by smur » 2004-10-02 14:45

Nicht nur gehört, auch selbst x-fach erlebt. Dann hakts wohl wirklich an der Definition. Denn ich meinte mit meiner ursprünglichen Aussage vollwertige TCP Verbindungen. Dass SYN-Flood in diesem Fall geht ist klar ;)

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: blocke ich damit eine kompleete ip range

Post by captaincrunch » 2004-10-02 22:55

Mir ging's erstmal nicht um Syn-Flooding, sondern (wie bereits oben geschrieben) ums erbsenzählen. Die Regel per IPTables besagt, dass Verbindungen in der Input-Table mit Source-Adresse a.b.c.d rejected werden. So sagt's die Regel nun einmal.
Dass dabei dann auch der umgekehrte Weg nicht mehr funktionieren wird, kann in diesem Fall halt ein angenehmer Nebeneffekt sein, ist aber augenscheinlich nicht das Ziel des OP. Aus diesem Grunde wollte ich deine Aussage einfach noch einmal in die richtige Richtung lenken.

So, und bevor demnächst auch jede meiner hier geschriebenen Silben auf die Goldwaage gelegt werden, halte ich jetzt wohl besser den Rand. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

smur
RSAC
Posts: 169
Joined: 2003-05-26 16:00
Location: Mannheim

Re: blocke ich damit eine kompleete ip range

Post by smur » 2004-10-02 23:13

Glaube jetzt ist klar was wir beide gemeint haben. Soweit so gut *g* :D