RootForum Community

cRoC wrote:Hallo,

wie kann ich bei iptables eine Regel hinzufügen, die nur ping-anfragen von ip's aus deutschland zulässt?

buddaaa wrote: kann Dir europa fuer iptables anbieten, ich erlaube z.b. auch nur von da FTP & POP3:
-s 145.0.0.0/8
-s 62.0.0.0/8
-s 80.0.0.0/5
-s 88.0.0.0/5
-s 193.0.0.0/7
-s 195.0.0.0/8
-s 212.0.0.0/7
-s 217.0.0.0/8

wenn man so paranoid ist muss man aber auch ab und zu nachschauen, ob neue netze fuer europa vergeben werden (RIPE NCC):

http://www.iana.org/assignments/ipv4-address-space

Lord_Pinhead wrote:

buddaaa wrote: kann Dir europa fuer iptables anbieten, ich erlaube z.b. auch nur von da FTP & POP3:
-s 145.0.0.0/8
-s 62.0.0.0/8
-s 80.0.0.0/5
-s 88.0.0.0/5
-s 193.0.0.0/7
-s 195.0.0.0/8
-s 212.0.0.0/7
-s 217.0.0.0/8

wenn man so paranoid ist muss man aber auch ab und zu nachschauen, ob neue netze fuer europa vergeben werden (RIPE NCC):

http://www.iana.org/assignments/ipv4-address-space

Was ja auch nur über den Daumen gepeilt 134 Millionen IP´s ergibt und damit mögliche Angreifer :roll:

Btw.: Clients nutzen ICMP Echo um die Packetgröße festzulegen (durch das Echo Reply das dann die Packetgröße hat)

Lord_Pinhead wrote:Bist du dir so sicher ;) Clients schickt oft kurzes icmp echo und bekommt antwort, der Ping hat dann auch gleich die Packetgröße inbegriffen.

tcpdump -i eth0 icmp -n -p

Meistens fängt das sowisso mit der Standardgröße 1492 an, wo jeder in seinen DSL einstellungen hat. Server hat allerdings eine MTU von 1500, weswegen ich sie auf 1472 runtergestellt habe um Packetfragmentierung zu verhindern.

Ausserdem, andere Frage: Was bringt dir bitte schön ein Sperren des Pings? Bots suchen sowisso über TCP Scanner und pingen dich gar nicht an ;) Sperren von request und reply ist an sich totaler schwachsinn, sobald du das machst weiß der Angreifer das eine Firewall läuft und das er andere Methoden wählen muss. Bist du auch der Meinung das man in den tables lieber -j DROP verwendet ;)

buddaaa wrote: jap, da bin ich mir sicher weil ich schon oft genug verbindungen mit tcpdump angeschaut hab und irgendwelche ICMP-geschichten kommen hoechstens im fehlerfall. kannst ja mal selber auf Deinem rootserver gucken:

Code: Select all

tcpdump -i eth0 icmp -n -p

... muesste ja sonst alle nase lang wenn jemand ne webseite anschaut oder spam abliefert was kommen.

13:07:34.403300 IP 84.181.247.x > 213.x.x.x: icmp
13:07:34.403368 IP 213.x.x.x > 84.181.247.x: ICMP echo reply, id 768, seq 1536, length 1448

schon klar, hat aber nix mit icmp-echo zu tun.

oh gott, Du hast auch den deutschen security by obscurity artikel in wkipedia gelesen und geglaubt.

also:
- es gibt mehr als eine moeglichkeit was es sein kann, wenn eine IP nicht auf einen ping antwortet, die schlussfolgerung "host firewall" stimmt nicht immer. es kann auch eine firewall fuer das ganze netz, blackhole routing, routing fehler, packet loss, einseitiges NAT oder sonstwas sein.
- ausserdem schicken nicht alle router ein "destination unreachable"
- daher kann das skript-kind nicht davon ausgehen, des "keine antwort von IP a.b.c.d" bedeutet, das diese IP benutzt wird wie es in dem lustigen wikipedia-artikel steht.
- also muss er alle ports abscannen, das ist fuer ihn langsamer ohne TCP-RST weil er mit einem timeout arbeiten muss und fehleranfaelliger weil "packet loss" gleich "geschlossener port".
- ausserdem hinterlaesst er eine riesige spur in den logfiles, jedes IDS/IPS springt an und manche leute benutzen ja nette tools die portscanner blocken (wuerde ich nicht tun, aber es gibt so leute).

so, und jetzt nenn mir einen sinnvollen grund auf einen ping zu antworten ? selbst http://www.ebay.com machts nicht, aber die ham ja keine ahnung vom internet und so sachen ;)

Lord_Pinhead wrote: Ich erinnere mich irgendwie dran das bestimmte Clients den Server wegen der Fragmentierung kurz anpingen, wie z.b. mein News Client

Ein IDS/IPS bringt ungefähr soviel wie gar nix hoch drei wenn jemand es richtig macht, es ist einfach nur eine Spielerei für den Honeypod, mehr nicht. Jedes IDS/IPS kann man durch ein einfachen Trick überlisten, und zwar das codieren von Shellcode, in einer Phrack war das mal geschrieben wenn ich mich recht erinnere.

Ich hab auf keinen meiner Produktiv Systeme ein IDS laufen und weiß trotzdem was vorgeht.

Das ich ein Ping blocke bringt in beiden Fällen überhaupt nichts, ausser das ich bei ein Fehler, nicht feststellen kann ob der komplette Server abgestürtzt ist oder nicht, ergo muss ich mich irgendwo einloggen und nachsehen.

Und bevor du jetzt sagst das ich durch ein Pingsweep ein ganzen Netzbereich abscannen kann, das kann ich mit ein Scan auf 3 verschiedene Ports fast genauso schnell. Was bringt es mir, ausser das ich jetzt nicht mehr einfach feststellen kann ob die Kiste vom Netz ist, icmp echo zu blockieren?

Die bringen es nichtmal fertig Ihre Datenbank richtig abzugleichen, des öfteren findet man Auktionen ganz plötzlich weil die mal wieder nicht abgeglichen haben. Sag jetzt nicht die wissen genau was sie da machen ;) Große Seiten lassen Ping zu, ich frag mich mal warum :). Und bei Ebay tippe ich sowisso auf einen Loadbalancer bzw. Proxy der ausser Port 80 und 443 nichts zulässt, vielleicht ein einstellungsfehler ;) Oder seh ich das im Traceroute jetzt richtig das Ebay da gar kein Einluss drauf hat :)