tatnocgl
Goto Top

Iptables,Netfilter Hilfe bei UDP Packet Filtern

Hallo,

meine Iptables Regeln habe ich so eingestellt das der ganze Input blockiert wird und nur von mir etablierte Verbindungen erlaubt sind. Ich bekomme aber noch UDP Packete(mcast) von einem Laptop in meinem Netzwerk die anscheinend nicht gedropt werden. Wie kann das sein? Was kann ich da machen?

Auszug meiner Iptables Regeln:
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

$IPT -A INPUT -m conntrack --ctstate=RELATED,ESTABLISHED -j ACCEPT
$IPT -A INPUT -m conntrack --ctstate=INVALID -j DROP
$IPT -A OUTPUT -m conntrack --ctstate=RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -m conntrack --ctstate=INVALID -j DROP
$IPT -A OUTPUT -p UDP --dport=53 -j ACCEPT

Wireshark UDP Packet:
Frame 55745: 698 bytes on wire (5584 bits), 698 bytes captured (5584 bits) on interface enp6s0, id 0
Ethernet II, Src:............, Dst:.....................
    Destination: IPv4mcast...............
    Source: ...................
    Type: IPv4 (0x0800)
Internet Protocol Version 4, Src: 210.211.212.33, Dst: 239.255.255.250
    0100 .... = Version: 4
    .... 0101 = Header Length: 20 bytes (5)
    Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
    Total Length: 684
    Identification: 0xe148 (57672)
    000. .... = Flags: 0x0
    ...0 0000 0000 0000 = Fragment Offset: 0
    Time to Live: 1
    Protocol: UDP (17)
    Header Checksum: 0x3f09 [validation disabled]
    [Header checksum status: Unverified]
    Source Address: 210.211.212.33
    Destination Address: 239.255.255.250
User Datagram Protocol, Src Port: 56993, Dst Port: 3702
    Source Port: 56993
    Destination Port: 3702
    Length: 664
    Checksum: 0x2d5a [unverified]
    [Checksum Status: Unverified]
    [Stream index: 105]
    [Timestamps]
        [Time since first frame: 0.000000000 seconds]
        [Time since previous frame: 0.000000000 seconds]
    UDP payload (656 bytes)
Data (656 bytes)

Content-ID: 6646414766

Url: https://administrator.de/forum/iptables-netfilter-hilfe-bei-udp-packet-filtern-6646414766.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

cykes
cykes 05.04.2023 um 06:34:58 Uhr
Goto Top
Moin,

in Deinem Wireshark-Trace taucht die IP 210.211.212.33 auf. Sagt die Dir irgendwas? Diese verweist nach Indien (Provider VSNL.net.in). Ggf. mal das Laptop einer Offline-Untersuchung unterziehen, wenn Dir das nichts sagt.

Gruß

cykes
TatnocGL
TatnocGL 05.04.2023 um 06:59:58 Uhr
Goto Top
Zitat von @cykes:

Moin,

in Deinem Wireshark-Trace taucht die IP 210.211.212.33 auf. Sagt die Dir irgendwas? Diese verweist nach Indien (Provider VSNL.net.in). Ggf. mal das Laptop einer Offline-Untersuchung unterziehen, wenn Dir das nichts sagt.

Gruß

cykes

Die IP 210.211.212.33 ist die LAN IP von dem Laptop. Warum mein Admin 210.211.... genommen hat weiss ich auch nicht ....

239.255.255.250 ist wahrscheinlich die Multicast-Adresse.

Da es zu dem Dst Port: 3702 gesendet wurde geh davon aus das es mit Web Services Dynamic Discovery zu tun hat.

Bin aber auch ein Einsteiger bei dem Themen Netzwerk deswegen habe ich keine ahnuhng ^^

Gruss
6247018886
Lösung 6247018886 05.04.2023 aktualisiert um 07:48:29 Uhr
Goto Top
Moin.
Das ist normal das du INBOUND Pakete siehst die später noch gedroppt werden, denn Wireshark/tcpdump sehen INBOUND alle Pakete noch bevor diese von der Firewall verarbeitet werden.

Cheers briggs
TatnocGL
TatnocGL 05.04.2023 um 07:53:31 Uhr
Goto Top
Zitat von @6247018886:

Moin.
Das ist normal das du INBOUND Pakete siehst die später noch gedroppt werden, denn Wireshark/tcpdump sehen INBOUND alle Pakete noch bevor diese von der Firewall verarbeitet werden.

Cheers briggs

Achso das erklaert natuerlich einiges.

Danke!
TatnocGL
TatnocGL 05.04.2023 um 08:15:55 Uhr
Goto Top
Nachfrage:

Gibt es ein Linux Programm das mir die Packete nach dem Filtern anzeigen kann?
6247018886
6247018886 05.04.2023 um 08:40:22 Uhr
Goto Top
ntop , ntopng
TatnocGL
TatnocGL 05.04.2023 um 08:47:53 Uhr
Goto Top
Zitat von @6247018886:

ntop , ntopng

Danke
aqui
aqui 05.04.2023 aktualisiert um 10:22:55 Uhr
Goto Top
Mit modernen nftables statt der veralteten iptables sähe das dann mit einem zusätzlichen Prerouting Filter z.B. so aus (nur SSH inbound erlaubt):
#!/usr/sbin/nft -f

flush ruleset

define pub_iface = "eth0"  

table inet drop-bad-ct-states {
	chain prerouting {
		type filter hook prerouting priority -150; policy accept;
		# drop packets in "invalid" connection-tracking state 
		ct state invalid drop
		# drop tcp packets for new connections that aren't syn packets 
		tcp flags & (fin|syn|rst|ack) != syn ct state new counter drop
		# drop XMAS packets.
		tcp flags & (fin|syn|rst|psh|ack|urg) == fin|syn|rst|psh|ack|urg counter drop
		# drop NULL packets.
		tcp flags & (fin|syn|rst|psh|ack|urg) == 0x0 counter drop
		# drop new connections over rate limit
		ct state new limit rate over 1/second burst 10 packets drop
		}
}

table inet filter {
	chain input {
		type filter hook input priority 0; policy drop;
		# accept any localhost traffic
		iif lo accept

		# accept traffic originated from us
		ct state established,related accept

		# accepted ICMP types
		# ip protocol icmp icmp type {echo-request, echo-reply, time-exceeded, parameter-problem, destination-unreachable } accept
		ip protocol icmp icmp type {time-exceeded, parameter-problem, destination-unreachable } accept

		# accept common local TCP services on public interface
		# iif $pub_iface tcp dport {ssh} ct state new accept

		# accept neighbour discovery otherwise IPv6 connectivity breaks.
		ip6 nexthdr icmpv6 icmpv6 type { nd-neighbor-solicit,  nd-router-advert, nd-neighbor-advert } accept

		# log and count dropped traffic
		# log prefix "[nftables]Denied: " counter drop 
		# only count dropped traffic
		counter drop 
TatnocGL
TatnocGL 05.04.2023 um 10:52:21 Uhr
Goto Top
Auf den ersten Blick sieht Iptables uebersichtlicher aus. Ich werde mir aber die Regeln mal kopieren und mich durch arbeiten.
Macht es den ein grossen unterschied ob ich nft oder ipt nehme?
aqui
aqui 05.04.2023 aktualisiert um 11:07:04 Uhr
Goto Top
Auf den ersten Blick sieht Iptables uebersichtlicher aus.
Das ist, wie immer, persönliche Geschmackssache und sieht man anders wenn man mehr mit nftables arbeitet. An der Grundstruktur mit den Chains hat sich ja auch nichts groß geändert.
Unterschied ist das iptables auf lange Sicht verschwinden wird.
In allen aktuellen Debian basierten Distros (Bullseye) gibt es schon kein iptables mehr nur noch nftables.
https://wiki.nftables.org/wiki-nftables/index.php/Main_Page
Die Datei oben ist die zentrale nftables Konfig Datei unter /etc/nftables.conf
Mit nft list ruleset kann man das aktive Ruleset ansehen.
https://www.youtube.com/watch?v=KePW2pw8W5w
usw.
TatnocGL
TatnocGL 05.04.2023 um 12:21:48 Uhr
Goto Top
Bin Gentoo User da war iptables vorinstalliert, muss jetzt nur den Kernel noch etwas anpassen bevor ich nft installieren kann aber ich denke das lohnt sich. Besser jetzt als spaeter irgendwann.
Hab in dem Video was du geteilt hast gesehen das es iptables-translate gibt da kann ich direkt meine ipt Regeln in nft Regel umwandel. Das ist schon genial!!!
Vielen vielen Dank fuer deine empfehlung!

Eine letzte Frage habe ich noch, zum Thema Firewall und zwar habe ich noch ein Windows Geraet auf dem ich gerne eine kostenlose Firwall installieren will. Hab mir jetzt 3 rausgesucht die sich gut angehoert haben.

-Evorim FreeFirewall
-ZoneAlarm Free
-Comodo Firewall

Kannst du mir eine davon empfehlen oder gibt es da vieleicht noch eine bessere?
cykes
cykes 05.04.2023 um 17:52:14 Uhr
Goto Top
Zitat von @TatnocGL:
Die IP 210.211.212.33 ist die LAN IP von dem Laptop. Warum mein Admin 210.211.... genommen hat weiss ich auch nicht ....
Ähm, das würde ich aber mal mit ihm ausdiskutieren, öffentliche IPs in privaten Netzen zu verwenden kann noch ganz andere Seiteneffekte nach sich ziehen.

Gruß

cykes
TatnocGL
TatnocGL 05.04.2023 um 19:43:42 Uhr
Goto Top
Zitat von @cykes:

Zitat von @TatnocGL:
Die IP 210.211.212.33 ist die LAN IP von dem Laptop. Warum mein Admin 210.211.... genommen hat weiss ich auch nicht ....
Ähm, das würde ich aber mal mit ihm ausdiskutieren, öffentliche IPs in privaten Netzen zu verwenden kann noch ganz andere Seiteneffekte nach sich ziehen.

Gruß

cykes

Ja das werd ich machen, die Logik dahinter versteh ich auch noch nicht.
Danke.
aqui
aqui 06.04.2023 aktualisiert um 09:04:10 Uhr
Goto Top
Zumal wenn es nicht seine IP ist sondern diese einem indischen Provider gehört. Sowas ist fahrlässig!!
inetnum: 210.211.128.0 - 210.211.255.255
mnt-by: APNIC-HM
netname: TATACOMM-IN
descr: Internet Service Provider
descr: TATA Communications formerly VSNL is Leading ISP,
descr: Data and Voice Carrier in India
country: IN
address: 6th Floor, LVSB, VSNL
address: Kashinath Dhuru marg, Prabhadevi
address: Dadar(W), Mumbai 400028
address: India
e-mail: ip.admin@tatacommunications.com
abuse-mailbox: 4755abuse@tatacommunications.com
TatnocGL
TatnocGL 06.04.2023 um 09:20:24 Uhr
Goto Top
Zitat von @aqui:

Zumal wenn es nicht seine IP ist sondern diese einem indischen Provider gehört. Sowas ist fahrlässig!!
inetnum: 210.211.128.0 - 210.211.255.255
mnt-by: APNIC-HM
netname: TATACOMM-IN
descr: Internet Service Provider
descr: TATA Communications formerly VSNL is Leading ISP,
descr: Data and Voice Carrier in India
country: IN
address: 6th Floor, LVSB, VSNL
address: Kashinath Dhuru marg, Prabhadevi
address: Dadar(W), Mumbai 400028
address: India
e-mail: ip.admin@tatacommunications.com
abuse-mailbox: 4755abuse@tatacommunications.com

Habe meinen Admin schon angeschrieben, ich check mal ob er schon was geandert hat.
TatnocGL
TatnocGL 06.04.2023 um 09:50:56 Uhr
Goto Top
Habe meinen Admin schon angeschrieben, ich check mal ob er schon was geandert hat.

Jo Ip liegt jetzt im Privaten Adressbereich face-smile

Hab noch ne andere Frage zum Thema Firewall. Soll ich dafuer ein neuen Beitrag erstellen?
aqui
aqui 06.04.2023 um 10:04:32 Uhr
Goto Top
Deine Entscheidung! face-wink
Sonst her mit der Frage...
TatnocGL
TatnocGL 06.04.2023 um 11:28:46 Uhr
Goto Top
Ok hier ist sie,
ich hab noch ein Windows Geraet hier auf dem ich gerne eine Firewall installieren will.
Hab mir 3 Kostenlose rausgesucht: Evorim FreeFirewall ,ZoneAlarm und Free Comodo Firewall.
Ist davon eine gut? Gibt es vieleicht noch andere?bessere?

Hab mir die rausgesucht weil ich kein komplettes AV-Programm brauche da der Rechner nur zum Spielen sein soll und nicht zum Surfen oder so.

Hab auch gelesen das man mit der Evorim FreeFirewall andere Firewalls kombinieren kann. Also koennte man ja vieleicht die Evorim FreeFirewall und Comodo zusammen installieren. Macht das sinn?

Das war jetzt mehr als eine Frage aber naja gut face-smile
6247018886
6247018886 06.04.2023 aktualisiert um 11:36:15 Uhr
Goto Top
Zitat von @TatnocGL:

Ok hier ist sie,
ich hab noch ein Windows Geraet hier auf dem ich gerne eine Firewall installieren will.
Hab mir 3 Kostenlose rausgesucht: Evorim FreeFirewall ,ZoneAlarm und Free Comodo Firewall.
Ist davon eine gut? Gibt es vieleicht noch andere?bessere?
Gar keine, Winblows hat bereits eine völlig ausreichende FW an Bord wenn damit eh nur gespielt wird, ist ein Zusatzprodukt verschwendete Performance und zusätzliche Fehlerquelle.

Hab auch gelesen das man mit der Evorim FreeFirewall andere Firewalls kombinieren kann. Also koennte man ja vieleicht die Evorim FreeFirewall und Comodo zusammen installieren. Macht das sinn?
Nein. Macht mehr Probleme als das es hilft oder sicherer macht.
TatnocGL
TatnocGL 06.04.2023 um 12:59:05 Uhr
Goto Top
Zitat von @6247018886:

Zitat von @TatnocGL:

Ok hier ist sie,
ich hab noch ein Windows Geraet hier auf dem ich gerne eine Firewall installieren will.
Hab mir 3 Kostenlose rausgesucht: Evorim FreeFirewall ,ZoneAlarm und Free Comodo Firewall.
Ist davon eine gut? Gibt es vieleicht noch andere?bessere?
Gar keine, Winblows hat bereits eine völlig ausreichende FW an Bord wenn damit eh nur gespielt wird, ist ein Zusatzprodukt verschwendete Performance und zusätzliche Fehlerquelle.

Hab auch gelesen das man mit der Evorim FreeFirewall andere Firewalls kombinieren kann. Also koennte man ja vieleicht die Evorim FreeFirewall und Comodo zusammen installieren. Macht das sinn?
Nein. Macht mehr Probleme als das es hilft oder sicherer macht.

Gut dann werde ich mal meine Skepsis gegenueber Windows/Windowsprodukte mal bei Seite schieben ;) und die Firewall benutzen. Danke fuer die Antwort.
aqui
aqui 06.04.2023 um 13:44:56 Uhr
Goto Top
ich hab noch ein Windows Geraet hier auf dem ich gerne eine Firewall installieren will.
Aber da ist doch schon die recht gute onboard Defender Firewall drauf. Wie oben schon gesagt: Besser als die ist keine externe FW ins System integriert. Es macht also recht wenig Sinn etwas anderes zu verwenden!
meine Skepsis gegenueber Windows/Windowsprodukte mal bei Seite schieben ;)
In dem Falle solltest du da auch ruhig machen! face-wink
TatnocGL
TatnocGL 06.04.2023 um 14:18:04 Uhr
Goto Top
Wenn ich die Zeit finde werde ich es mal Testen, mehr als schief gehen kann es ja nicht face-smile

Danke!