14
IP Adresse über DHCP obwohl lokale Firewall droppen sollte
Hallo zusammen,
wie ist es möglich, dass Debian eine IP Adresse über DHCP zugewießen bekommt, obwohl bei iptables die Chain in- und output auf drop gesetzt wurde und sonst keine Regeln definiert sind?
wie ist es möglich, dass Debian eine IP Adresse über DHCP zugewießen bekommt, obwohl bei iptables die Chain in- und output auf drop gesetzt wurde und sonst keine Regeln definiert sind?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 337827
Url: https://administrator.de/forum/ip-adresse-ueber-dhcp-obwohl-lokale-firewall-droppen-sollte-337827.html
Ausgedruckt am: 12.04.2025 um 18:04 Uhr
14 Kommentare
Neuester Kommentar
Die Verhaltensweise ist absolut normal so, denn der DHCP Daemon erstellt einen RAW-Socket mit dem er die UDP Pakete des DHCP-Requests an iptables vorbei handelt. Er umgeht iptables also.
Der Grund ist das der Kernel selbst erst UDP Pakete verarbeiten kann wenn das Interface eine IP-Adresse hat.
Willst du kein DHCP, DHCP deaktivieren/abschalten oder eine netfilter wie ebtables nutzen.
Gruß
Der Grund ist das der Kernel selbst erst UDP Pakete verarbeiten kann wenn das Interface eine IP-Adresse hat.
Willst du kein DHCP, DHCP deaktivieren/abschalten oder eine netfilter wie ebtables nutzen.
Gruß
Wenn das dann mal nur vom DHCP Daemon so gehandhabt wird... Oder fallen dir noch mehr Dienste ein die "vor" iptables agieren?
Eine Firewall sollte aus meiner Sicht IMMER als erstes die Pakete in Empfang nehmen.
Danke schau ich mir an
Eine Firewall sollte aus meiner Sicht IMMER als erstes die Pakete in Empfang nehmen.
Danke schau ich mir an
Zitat von @cgicloud:
Na wenn das dann mal nur vom DHCP Daemon so gehandhabt wird... Oder fallen dir noch mehr Dienste ein die "vor" iptables agieren?
Da müsste ich erst mal wühlen ...Na wenn das dann mal nur vom DHCP Daemon so gehandhabt wird... Oder fallen dir noch mehr Dienste ein die "vor" iptables agieren?
Eine Firewall sollte aus meiner Sicht IMMER als erstes die Pakete in Empfang nehmen.
Nun, optimalerweise ja, aber ohne IP geht das hier schlecht, denn iptables arbeitet auf einem anderen Layer, es kommt hier also auch auf den verwendeten Kernel mit dessen Möglichkeiten an.Wie immer, andere Filtersoftware andere Möglichkeiten.
Wenn du aber Dienste auf deiner Firewall anlässt die du dort nicht haben willst bzw. auf Interfaces lauschen lässt wo sie nicht lauschen sollen bis du selber schuld
.Denn geforwardeten DHCP-Traffic von anderen Devices im Netz kannst du ja problemlos damit wegfiltern.
Primär ist also der der Benutzer die Schwachstelle wenn es um die Konfiguration einer Firewall geht, sie kann dir also nicht deine Fehler abnehmen und den hast du begangen indem du einen Dienst auf Interfaces aktiviert gelassen hast der dort nach deiner Meinung eben nicht hin gehört. Deswegen sollten auf einer FW so wenig Dienste wie möglich aktiv sein um die mögliche Angriffsfläche klein zu halten.
Hallo,
MAC-ID auch geblockt ?
Die meisten Chains greifen erst mit IPs... die gibt es aber nch nicht.
Du kannst MAC blocken (mühsam), dann gibt auch keine IP vom DHCP.
Steht meist auch im kernel.log, was da passiert, bevor die (normalerweise IP)basierte Firewall zuschlagen kann.
Fred
MAC-ID auch geblockt ?
Die meisten Chains greifen erst mit IPs... die gibt es aber nch nicht.
Du kannst MAC blocken (mühsam), dann gibt auch keine IP vom DHCP.
Steht meist auch im kernel.log, was da passiert, bevor die (normalerweise IP)basierte Firewall zuschlagen kann.
Fred
Darum sollte man sich nicht auf "IM" System integrierte Firewalls verlassen. Denn das System hat - eben,wie du - immer Vorrechte. Entweder so, oder manipulierend. Sprich, wenn das System korrumpiert ist, wird es auch die Firewall manipulieren.
VG
VG
Du meinst "kompromittiert". Korrumpieren kann man nur Politiker
Was das droppen von RAW-Sockets angeht: Man kann in iptables mit einigem Aufwand auch in den RAW-Tables arbeiten - aber ob das funktioniert ist auch nicht sicher und der einfachste Weg wäre, das System so zu konfigurieren, dass es kein DHCP nutzt
Hi,
[2] Integrität oder Authentizität von elektronischen Daten schwächen. Herkunft: vom lateinischen corrumpere → la für „verderben“ oder „verschlechtern“ sowie „verführen“ oder „verleiten“; zu rumpere → la für „(zer)brechen“
Könnte ich auch meinen, ja. mMn ist es aufgrund der unbestimmtheit der Menge möglicher Problemquellen deckungsgleich - können darüber aber gerne philosophieren.
Moin,
Bei lokalen Firewalls hastvDu generell das Probelm, daß im wesentlichen darauf ankommt, an welcher Stelle im Netzwerkstack diese greift. Es gibt Protokolle, die vr dem Filter zum zug kommen und andere, die erst danach die Pakete bekommen. Wen Du wirklich alle eventualitäten abfangen willst, mußt Du einen externen Filter verwenden.
Ansonsten mußt Du jeweils prüfen, ob Du mit Deinem Filter überhaupt "tief genug" kommst, um die "niederen" Protokolle zu filtern.
lks
Bei lokalen Firewalls hastvDu generell das Probelm, daß im wesentlichen darauf ankommt, an welcher Stelle im Netzwerkstack diese greift. Es gibt Protokolle, die vr dem Filter zum zug kommen und andere, die erst danach die Pakete bekommen. Wen Du wirklich alle eventualitäten abfangen willst, mußt Du einen externen Filter verwenden.
Ansonsten mußt Du jeweils prüfen, ob Du mit Deinem Filter überhaupt "tief genug" kommst, um die "niederen" Protokolle zu filtern.
lks
Hallo,
iptables ist keine Firewall, sondern ein Paketefilter.
Eine Firewall wäre das Gesamtkonzept. Also z.B. der PC aus Sicht seiner Funktionalität.
BTW: Heißt das Ding jetzt nicht ipchains?
Gruß,
Jörg
iptables ist keine Firewall, sondern ein Paketefilter.
Eine Firewall wäre das Gesamtkonzept. Also z.B. der PC aus Sicht seiner Funktionalität.
BTW: Heißt das Ding jetzt nicht ipchains?
Gruß,
Jörg
Zitat von @117471:
BTW: Heißt das Ding jetzt nicht ipchains?
Das war mal vor langer langer Zeit als der Kernel sich Version 2.2.x nannte ..BTW: Heißt das Ding jetzt nicht ipchains?
https://www.netfilter.org/
Hallo,
ich werde alt - oder?
Gruß,
Jörg
ich werde alt - oder?
Gruß,
Jörg
Zitat von @117471:
ich werde alt - oder?
ich werde alt - oder?
Naja, solange du nicht versucht Deine Linux-Filter mit ipfwadm zu konfiurieren, kannst Du nicht so alt sein.
lks
Zitat von @117471:
ich werde alt - oder?
Keine Angst, das werden wir alle ich werde alt - oder?
, so Gott will.
Huhu,
hier neben mir steht 'ne Slakware-CD mit Kernel 1.2.13, in der noch der Original-Kassenzettel steckt - ich glaube, die compiliert immer noch...
Gruß,
Jörg
hier neben mir steht 'ne Slakware-CD mit Kernel 1.2.13, in der noch der Original-Kassenzettel steckt - ich glaube, die compiliert immer noch...
Gruß,
Jörg
