[ShadowHunter]

Ich hab jetzt mal alles mögliche durchgeschaut auch in Foren nur bezüglich dieser "rejects" nichts passendes gefunden.
Worin besteht überhaupt das Problem, dass es fehlt?
Und wie soll ichs bei DD-WRT hinkriegen, zumindest über das normale WebInterface hab ich nichts gefunden, evtl. geht das nur über Konsole oder ähnliches, wenn ja wäre ich um Hilfe sehr dankbar!

[Rika]

Zitat

Worin besteht überhaupt das Problem, dass es fehlt?

Unnötiger Traffic, Timeouts und kaputtes Loadbalancing durch fehlende ablehnende Antworten. Besonders bei Ident sehr prävalent, weil das für Mailversand via SMTP und auch beim IRC-Login gebraucht wird. Außerdem ist es schlicht und ergreifend nicht RFC-konform, und solange keine sicherheits- oder netzwerktechnischen Überlegungen eine Rolle spielen, sollte man sich RFC-konform verhalten - tut dir und dem Netz gut. :-)

Zitat

evtl. geht das nur über Konsole oder ähnliches

Hallo? Das steckt ein Linux mit Netfilter drunter, mächtiger geht's ja wohl kaum. Über einfache Scripte bis hin zu graphischen Scriptgeneratoren a la ShoreWall gibt es viele schöne Wege, das Netzwerkverhalten bis ins kleinste Detail zu regeln. Firewalling, QoS, NAT mit Layer7-Conntracking, IPv6, ...

Es ist ja nicht so, daß du ein ultrabilligen Standardrouter hättest, wo man dazu verdammt ist, das nicht ändern zu können.

[ShadowHunter]

Ok jedoch jetzt im Betrieb mir direkt noch nie was negatives aufgefallen.
Beim IRC-Login z.b noch keine Probleme gehabt.
Bevor ich mir die RFC's Suche, weisst du zufällig welche hierfür sind?

Für den Bereich fehlen mir atm noch die Kenntnisse, daher mach ich alles noch übers WebInterface und DORT war eben nichts zu finden, zumindest nicht für mich! Sind das eher kleine Änderungen oder doch eher größer?
Da ich ja persönlich nicht weiss, wie ich das genau bewerkstellige.
Könnte es denn eigentlich sein, das wenn ich die HyperWRT oder OpenWRT dann nutze, das Problem sich erledigt hat, weil bei diesen, das von Haus aus passend eingestellt ist?

Zitat

Es ist ja nicht so, daß du ein ultrabilligen Standardrouter hättest, wo man dazu verdammt ist, das nicht ändern zu können. smile.gif

Genau deswegen hab ich ihn ja gekauft
Das mit der Firmware etc. hab ich hin bekommen, fürn Rest mal schaun, is wohl noch etwas "Arbeit" gefragt zum einen über die Thematik ansich (Rejects etc. waren mir bisher nicht in dem Sinne bekannt) und wie ich das ganze anpasse!

Du hast wohl eh deine eigene Firmware bzw. eine wie OpenWRT und dann komplett angepasst, wenn du ihn überhaupt im Betrieb hast ^^

[tavoc]

Zitat

....
..Starting nmap 3.93 ( http://www.insecure.org/nmap/ ) at 2006-05-14 22:27 PDT..
..Interesting ports on (xxx): ..
..(The 1222 ports scanned but not shown below are in state: filtered)..
..PORT STATE SERVICE..
..20/tcp closed ftp-data..
..21/tcp open ftp.. FTP should be used only for anonymous FTP services
..80/tcp open http.. Is this your external web server ? .. if not...turn it off
..113/tcp closed auth.. auth should be turned on for your Mail Server
..1723/tcp closed pptp..
..Device type: general purpose|broadband router..
..Running: Linux 2.4.X|2.5.X, D-Link embedded..
..OS details: Linux 2.4.0 - 2.5.20, Linux 2.4.18 - 2.4.20, Linux 2.4.26, Linux 2.4.27 or D-Link DSL-500T (running linux 2.4)..
..Uptime 58.413 days (since Fri Mar 17 11:33:22 2006)..
....
..Nmap finished: 1 IP address (1 host up) scanned in 43.003 seconds..

#
# end of test data

Ist der scan in Ordnung, wenn man einen ftp/web server hat? Oder kann man da noch was verbessern?

[eiswicht]

ich verstehe nicht warum alle den port 21offen haben ?

ich habs z.b soo geregelt *intern* port 21 -- öffentlich port 8798



und bei googl fand ich das

Zitat

Vorgehensweise um Port 1723 am DSL Router Vigor 2500 schliessen


Der Port 1723 dient dem PPTP Protokoll und ermöglicht es, virtuelle Private Netzwerke (VPN) einzurichten. Durch diesen Port können jedoch auch Hacker Zugriff auf Ihren Computer erhalten.

So schliessen Sie den Port 1723 am DSL Router Vigor 2500:

DSL Router mit Ihrem Browser aufrufen, z.B. über IP 192.168.1.1

"Spezielle Einstellungen" (Tabelle Links unten)

"VPN und externe Einwahl"

"Einwahl aktivieren"

Punkt "PPTP" deaktivieren

"OK" drücken

Router mit aktueller Konfiguration neu starten

also ned immer herumexperimentieren und das rad neu erfinden denn es gibt ja alles schon

gruss

[amir]

Zitat (eiswicht: 15.05.2006, 08:06)

ich verstehe nicht warum alle den port 21offen haben ?

ich habs z.b soo geregelt *intern* port 21 -- öffentlich port 8798



und bei googl fand ich das
also ned immer herumexperimentieren und das rad neu erfinden denn es gibt ja alles schon

gruss

okay besten dank klappt.

aber leute, reicht es denn wenn ( fast ) alle ports geschlossen sind für den privaten gebraucht oder muss ich speziell noch irgendwas einstellen damit ich sicher bin ?

[Rika]

Zitat

Bevor ich mir die RFC's Suche, weisst du zufällig welche hierfür sind?

RFC 792 und 793. Kurz und knapp: Eine abgelehnte TCP-Verbindung oder ein UDP-Paket ist mir einem ICMP_DESTNATION_UNREACHABLE Subcode PORT_UNREACHABLE zu beantworten. Dank vieler fehlerhafter Implementierungen wie BSD, davon abgeleitet Windows, und diverse proprietäre Unices ist es allerdings üblich, bei TCP stattdessen ein TCP-Reset zu schicken.

Über eine Firewall abgelehnte Anfragen sind mit ICMP_ADMIN_PROHIBITED zu beantworten.

Natürlich ergibt das auf diversen Ports wie beispielsweise 445/TCP keinen Sinn, weil da eh nur Anfragen von verseuchten Windows-Kisten reinkommen, die sich für die Antworten nicht interessieren. Dann kann man sie sich natürlich sparen.

@eiswicht:

Was für eine blöde Frage: 20+21/TCP für FTP ist ein Well Known Port, d.h. man sollte den nach Möglichkeit auch verwenden.

[ShadowHunter]

Zitat

Über eine Firewall abgelehnte Anfragen sind mit ICMP_ADMIN_PROHIBITED zu beantworten.

Schon die im Router integrierte damit gemeint oder eine andere?

Zitat

Natürlich ergibt das auf diversen Ports wie beispielsweise 445/TCP keinen Sinn, weil da eh nur Anfragen von verseuchten Windows-Kisten reinkommen, die sich für die Antworten nicht interessieren. Dann kann man sie sich natürlich sparen.

Sowieso am PC "geschlossen"

Und wie bewerkstellige ich es am besten das mit
"ICMP_DESTNATION_UNREACHABLE Subcode PORT_UNREACHABLE"
geantwortet wird?

Habe noch manch anderen Portscan probiert, entweder kommts gleiche oder eben "keine offenen ports gefunden"! Daher leuchtet mir net ein inwiefern es direkt problematisch ist, außer das wohl "falsch" geantwortet wird.
Die RFC's kenne ich nur grob und auf die Schnelle atm vorm Abi zuviel zum lesen. Mir wäre eine möglichst einfache Lösung recht.
Wenn du natürlcih sagst, das ganze würde sich am schnellsten mit dem Wechsel zu OpenWRT oder HyperWRT ändern, da es dort standardmäßig passt, bietet sich das an.
Ansonsten bin ich da mit meinem jetzigen Wissen schlichtweg überfordert. Entweder weisst ne passende Lösung oder muss mich später mal dran machen wenn ich die Dinge durchgekauert hab.

Danke trotzdem schonmal!

[eiswicht]

Zitat

Was für eine blöde Frage: 20+21/TCP für FTP ist ein Well Known Port, d.h. man sollte den nach Möglichkeit auch verwenden.

@rika

sorry das ich ned so intelligent wie du bist
aber leider muss ich dir da aufs schärfste wiedersprechen.

gerade weils ein Well Known Port ist sollte man ihn saven, denn diese ganzen scriptkiddys fangen ja bei port 20/21 an und versuchen einen zu knacken.

gruss

[ShadowHunter]

Der Port ist aber doch nur offen, wenn du den Server aktiv anhast und ob die so einfach reinkommen ohne erlaubten Zugriff ist auhc wieder was anderes.
Wird doch nur weitergeleitet am Router wenn bei dir ein Dienst (FTP Server) lauscht?!

[Graumagier]

Shadowhunter sagte:

Schon die im Router integrierte damit gemeint oder eine andere?

Auf deinem Router läuft iptables, also ja.

Shadowhunter sagte:

Habe noch manch anderen Portscan probiert, entweder kommts gleiche oder eben "keine offenen ports gefunden"!

Was aber nur bedeutet, dass der Portscan keinen ordentlichen Log anbietet. Deshalb scannt man idealerweise mit nmap o.ä. von einem zweiten System aus. Über das Internet selbstverständlich.

ShadowHunter sagte:

Daher leuchtet mir net ein inwiefern es direkt problematisch ist, außer das wohl "falsch" geantwortet wird.

Das ist die Problematik dabei. Standards gibt's ja nicht zum Spaß.

ShadowHunter sagte:

Mir wäre eine möglichst einfache Lösung recht.

Nimm dir ein iptables-Tutorial (z.B. dieses) und lies dich kurz ein, dann solltest du das bewerkstelligen können.

eiswicht sagte:

gerade weils ein Well Known Port ist sollte man ihn saven, denn diese ganzen scriptkiddys fangen ja bei port 20/21 an und versuchen einen zu knacken.

Wenn du verbuggte Software einsetzt bist du selbst schuld. Security by obscurity funktioniert nicht.

Dieser Beitrag wurde von Graumagier bearbeitet: 15. Mai 2006 - 17:10

[ShadowHunter]

Zitat

Was aber nur bedeutet, dass der Portscan keinen ordentlichen Log anbietet. Deshalb scannt man idealerweise mit nmap o.ä. von einem zweiten System aus. Über das Internet selbstverständlich.

Das ist klar, wie gesagt interessierte mich nur was andere Scans zeigen. Nmap zeigt ja wie gepostet eben nicht wirklich viel an.

Zitat

Das ist die Problematik dabei. Standards gibt's ja nicht zum Spaß.

Auch klar Nur wieso wird dieser dann nicht eingehalten? dachte gerade mit so einer "guten" alternativen Firmware würden einige Ungereimtheiten ausgemerzt.

Zitat

Nimm dir ein iptables-Tutorial (z.B. dieses) und lies dich kurz ein, dann solltest du das bewerkstelligen können.

Erklärt mir das Prinzip nur wie passe ich das explizit bei meinem Router an? Über das Webinterface wohl kaum oder?

[Graumagier]

ShadowHunter sagte:

dachte gerade mit so einer "guten" alternativen Firmware würden einige Ungereimtheiten ausgemerzt.

Naja, sie gibt dir zumindest die Möglichkeit, es selbst zu tun

ShadowHunter sagte:

Erklärt mir das Prinzip nur wie passe ich das explizit bei meinem Router an? Über das Webinterface wohl kaum oder?

Über Telnet.

[ShadowHunter]

Alternative zu Telnet? habs deaktivert und wenn ich mich recht erinnere sogar gelöscht!
Sonst stell ichs halt wieder her!

[Graumagier]

ShadowHunter sagte:

Alternative zu Telnet? habs deaktivert und wenn ich mich recht erinnere sogar gelöscht!
Sonst stell ichs halt wieder her!

Du hast Telnet gelöscht? Ich denke du verwechselt da was, starte mal cmd.exe /K "telnet".