Apr 05, 2023, updated at 09:34:25 (UTC)

1551

Iptables,Netfilter Hilfe bei UDP Packet Filtern

Hallo,

meine Iptables Regeln habe ich so eingestellt das der ganze Input blockiert wird und nur von mir etablierte Verbindungen erlaubt sind. Ich bekomme aber noch UDP Packete(mcast) von einem Laptop in meinem Netzwerk die anscheinend nicht gedropt werden. Wie kann das sein? Was kann ich da machen?

Auszug meiner Iptables Regeln:

$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

$IPT -A INPUT -m conntrack --ctstate=RELATED,ESTABLISHED -j ACCEPT
$IPT -A INPUT -m conntrack --ctstate=INVALID -j DROP
$IPT -A OUTPUT -m conntrack --ctstate=RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -m conntrack --ctstate=INVALID -j DROP
$IPT -A OUTPUT -p UDP --dport=53 -j ACCEPT

Wireshark UDP Packet:

Frame 55745: 698 bytes on wire (5584 bits), 698 bytes captured (5584 bits) on interface enp6s0, id 0
Ethernet II, Src:............, Dst:.....................
    Destination: IPv4mcast...............
    Source: ...................
    Type: IPv4 (0x0800)
Internet Protocol Version 4, Src: 210.211.212.33, Dst: 239.255.255.250
    0100 .... = Version: 4
    .... 0101 = Header Length: 20 bytes (5)
    Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
    Total Length: 684
    Identification: 0xe148 (57672)
    000. .... = Flags: 0x0
    ...0 0000 0000 0000 = Fragment Offset: 0
    Time to Live: 1
    Protocol: UDP (17)
    Header Checksum: 0x3f09 [validation disabled]
    [Header checksum status: Unverified]
    Source Address: 210.211.212.33
    Destination Address: 239.255.255.250
User Datagram Protocol, Src Port: 56993, Dst Port: 3702
    Source Port: 56993
    Destination Port: 3702
    Length: 664
    Checksum: 0x2d5a [unverified]
    [Checksum Status: Unverified]
    [Stream index: 105]
    [Timestamps]
        [Time since first frame: 0.000000000 seconds]
        [Time since previous frame: 0.000000000 seconds]
    UDP payload (656 bytes)
Data (656 bytes)

Please also mark the comments that contributed to the solution of the article

Content-Key: 6646414766

Url: https://administrator.de/contentid/6646414766

Printed on: June 23, 2024 at 03:06 o'clock

22 Comments

Latest comment

Moin,

in Deinem Wireshark-Trace taucht die IP 210.211.212.33 auf. Sagt die Dir irgendwas? Diese verweist nach Indien (Provider VSNL.net.in). Ggf. mal das Laptop einer Offline-Untersuchung unterziehen, wenn Dir das nichts sagt.

Gruß

cykes

Zitat von @cykes:

Moin,

in Deinem Wireshark-Trace taucht die IP 210.211.212.33 auf. Sagt die Dir irgendwas? Diese verweist nach Indien (Provider VSNL.net.in). Ggf. mal das Laptop einer Offline-Untersuchung unterziehen, wenn Dir das nichts sagt.

Gruß

cykes

Die IP 210.211.212.33 ist die LAN IP von dem Laptop. Warum mein Admin 210.211.... genommen hat weiss ich auch nicht ....

239.255.255.250 ist wahrscheinlich die Multicast-Adresse.

Da es zu dem Dst Port: 3702 gesendet wurde geh davon aus das es mit Web Services Dynamic Discovery zu tun hat.

Bin aber auch ein Einsteiger bei dem Themen Netzwerk deswegen habe ich keine ahnuhng ^^

Gruss

Moin.
Das ist normal das du INBOUND Pakete siehst die später noch gedroppt werden, denn Wireshark/tcpdump sehen INBOUND alle Pakete noch bevor diese von der Firewall verarbeitet werden.

Cheers briggs

Zitat von @6247018886:

Moin.
Das ist normal das du INBOUND Pakete siehst die später noch gedroppt werden, denn Wireshark/tcpdump sehen INBOUND alle Pakete noch bevor diese von der Firewall verarbeitet werden.

Cheers briggs

Achso das erklaert natuerlich einiges.

Danke!

Nachfrage:

Gibt es ein Linux Programm das mir die Packete nach dem Filtern anzeigen kann?

ntop , ntopng

Zitat von @6247018886:

ntop , ntopng

Danke

Mit modernen nftables statt der veralteten iptables sähe das dann mit einem zusätzlichen Prerouting Filter z.B. so aus (nur SSH inbound erlaubt):

#!/usr/sbin/nft -f

flush ruleset

define pub_iface = "eth0"  

table inet drop-bad-ct-states {
	chain prerouting {
		type filter hook prerouting priority -150; policy accept;
		# drop packets in "invalid" connection-tracking state 
		ct state invalid drop
		# drop tcp packets for new connections that aren't syn packets 
		tcp flags & (fin|syn|rst|ack) != syn ct state new counter drop
		# drop XMAS packets.
		tcp flags & (fin|syn|rst|psh|ack|urg) == fin|syn|rst|psh|ack|urg counter drop
		# drop NULL packets.
		tcp flags & (fin|syn|rst|psh|ack|urg) == 0x0 counter drop
		# drop new connections over rate limit
		ct state new limit rate over 1/second burst 10 packets drop
		}
}

table inet filter {
	chain input {
		type filter hook input priority 0; policy drop;
		# accept any localhost traffic
		iif lo accept

		# accept traffic originated from us
		ct state established,related accept

		# accepted ICMP types
		# ip protocol icmp icmp type {echo-request, echo-reply, time-exceeded, parameter-problem, destination-unreachable } accept
		ip protocol icmp icmp type {time-exceeded, parameter-problem, destination-unreachable } accept

		# accept common local TCP services on public interface
		# iif $pub_iface tcp dport {ssh} ct state new accept

		# accept neighbour discovery otherwise IPv6 connectivity breaks.
		ip6 nexthdr icmpv6 icmpv6 type { nd-neighbor-solicit,  nd-router-advert, nd-neighbor-advert } accept

		# log and count dropped traffic
		# log prefix "[nftables]Denied: " counter drop 
		# only count dropped traffic
		counter drop 

Auf den ersten Blick sieht Iptables uebersichtlicher aus. Ich werde mir aber die Regeln mal kopieren und mich durch arbeiten.
Macht es den ein grossen unterschied ob ich nft oder ipt nehme?

Auf den ersten Blick sieht Iptables uebersichtlicher aus.

Das ist, wie immer, persönliche Geschmackssache und sieht man anders wenn man mehr mit nftables arbeitet. An der Grundstruktur mit den Chains hat sich ja auch nichts groß geändert.
Unterschied ist das iptables auf lange Sicht verschwinden wird.
In allen aktuellen Debian basierten Distros (Bullseye) gibt es schon kein iptables mehr nur noch nftables.
https://wiki.nftables.org/wiki-nftables/index.php/Main_Page
Die Datei oben ist die zentrale nftables Konfig Datei unter /etc/nftables.conf
Mit nft list ruleset kann man das aktive Ruleset ansehen.
https://www.youtube.com/watch?v=KePW2pw8W5w
usw.

Bin Gentoo User da war iptables vorinstalliert, muss jetzt nur den Kernel noch etwas anpassen bevor ich nft installieren kann aber ich denke das lohnt sich. Besser jetzt als spaeter irgendwann.
Hab in dem Video was du geteilt hast gesehen das es iptables-translate gibt da kann ich direkt meine ipt Regeln in nft Regel umwandel. Das ist schon genial!!!
Vielen vielen Dank fuer deine empfehlung!

Eine letzte Frage habe ich noch, zum Thema Firewall und zwar habe ich noch ein Windows Geraet auf dem ich gerne eine kostenlose Firwall installieren will. Hab mir jetzt 3 rausgesucht die sich gut angehoert haben.

-Evorim FreeFirewall
-ZoneAlarm Free
-Comodo Firewall

Kannst du mir eine davon empfehlen oder gibt es da vieleicht noch eine bessere?

Zitat von @TatnocGL:
Die IP 210.211.212.33 ist die LAN IP von dem Laptop. Warum mein Admin 210.211.... genommen hat weiss ich auch nicht ....

Ähm, das würde ich aber mal mit ihm ausdiskutieren, öffentliche IPs in privaten Netzen zu verwenden kann noch ganz andere Seiteneffekte nach sich ziehen.

Gruß

cykes

Zitat von @cykes:

Zitat von @TatnocGL:
Die IP 210.211.212.33 ist die LAN IP von dem Laptop. Warum mein Admin 210.211.... genommen hat weiss ich auch nicht ....

Ähm, das würde ich aber mal mit ihm ausdiskutieren, öffentliche IPs in privaten Netzen zu verwenden kann noch ganz andere Seiteneffekte nach sich ziehen.

Gruß

cykes

Ja das werd ich machen, die Logik dahinter versteh ich auch noch nicht.
Danke.

Zumal wenn es nicht seine IP ist sondern diese einem indischen Provider gehört. Sowas ist fahrlässig!!
inetnum: 210.211.128.0 - 210.211.255.255
mnt-by: APNIC-HM
netname: TATACOMM-IN
descr: Internet Service Provider
descr: TATA Communications formerly VSNL is Leading ISP,
descr: Data and Voice Carrier in India
country: IN
address: 6th Floor, LVSB, VSNL
address: Kashinath Dhuru marg, Prabhadevi
address: Dadar(W), Mumbai 400028
address: India
e-mail: ip.admin@tatacommunications.com
abuse-mailbox: 4755abuse@tatacommunications.com

Zitat von @aqui:

Zumal wenn es nicht seine IP ist sondern diese einem indischen Provider gehört. Sowas ist fahrlässig!!
inetnum: 210.211.128.0 - 210.211.255.255
mnt-by: APNIC-HM
netname: TATACOMM-IN
descr: Internet Service Provider
descr: TATA Communications formerly VSNL is Leading ISP,
descr: Data and Voice Carrier in India
country: IN
address: 6th Floor, LVSB, VSNL
address: Kashinath Dhuru marg, Prabhadevi
address: Dadar(W), Mumbai 400028
address: India
e-mail: ip.admin@tatacommunications.com
abuse-mailbox: 4755abuse@tatacommunications.com

Habe meinen Admin schon angeschrieben, ich check mal ob er schon was geandert hat.

Jo Ip liegt jetzt im Privaten Adressbereich

Hab noch ne andere Frage zum Thema Firewall. Soll ich dafuer ein neuen Beitrag erstellen?

Deine Entscheidung!

Sonst her mit der Frage...

Ok hier ist sie,
ich hab noch ein Windows Geraet hier auf dem ich gerne eine Firewall installieren will.
Hab mir 3 Kostenlose rausgesucht: Evorim FreeFirewall ,ZoneAlarm und Free Comodo Firewall.
Ist davon eine gut? Gibt es vieleicht noch andere?bessere?

Hab mir die rausgesucht weil ich kein komplettes AV-Programm brauche da der Rechner nur zum Spielen sein soll und nicht zum Surfen oder so.

Hab auch gelesen das man mit der Evorim FreeFirewall andere Firewalls kombinieren kann. Also koennte man ja vieleicht die Evorim FreeFirewall und Comodo zusammen installieren. Macht das sinn?

Das war jetzt mehr als eine Frage aber naja gut

Zitat von @TatnocGL:

Ok hier ist sie,
ich hab noch ein Windows Geraet hier auf dem ich gerne eine Firewall installieren will.
Hab mir 3 Kostenlose rausgesucht: Evorim FreeFirewall ,ZoneAlarm und Free Comodo Firewall.
Ist davon eine gut? Gibt es vieleicht noch andere?bessere?

Gar keine, Winblows hat bereits eine völlig ausreichende FW an Bord wenn damit eh nur gespielt wird, ist ein Zusatzprodukt verschwendete Performance und zusätzliche Fehlerquelle.

Hab auch gelesen das man mit der Evorim FreeFirewall andere Firewalls kombinieren kann. Also koennte man ja vieleicht die Evorim FreeFirewall und Comodo zusammen installieren. Macht das sinn?

Nein. Macht mehr Probleme als das es hilft oder sicherer macht.

Zitat von @6247018886:

Gar keine, Winblows hat bereits eine völlig ausreichende FW an Bord wenn damit eh nur gespielt wird, ist ein Zusatzprodukt verschwendete Performance und zusätzliche Fehlerquelle.

Hab auch gelesen das man mit der Evorim FreeFirewall andere Firewalls kombinieren kann. Also koennte man ja vieleicht die Evorim FreeFirewall und Comodo zusammen installieren. Macht das sinn?

Nein. Macht mehr Probleme als das es hilft oder sicherer macht.

Gut dann werde ich mal meine Skepsis gegenueber Windows/Windowsprodukte mal bei Seite schieben ;) und die Firewall benutzen. Danke fuer die Antwort.

ich hab noch ein Windows Geraet hier auf dem ich gerne eine Firewall installieren will.

Aber da ist doch schon die recht gute onboard Defender Firewall drauf. Wie oben schon gesagt: Besser als die ist keine externe FW ins System integriert. Es macht also recht wenig Sinn etwas anderes zu verwenden!

meine Skepsis gegenueber Windows/Windowsprodukte mal bei Seite schieben ;)

In dem Falle solltest du da auch ruhig machen!

Wenn ich die Zeit finde werde ich es mal Testen, mehr als schief gehen kann es ja nicht

Danke!

German solved Question Linux Network