Arch Linux

Erste Schritte mit iptables => erster großer Schrecken

Army

So, hi, ich will jetzt nicht den Thread über den Wegfall des Pakets tcp_wrappers zumüllen, daher mal nen extra Thread.

Wie dort in dem anderen Thread schon erwähnt, hänge ich wohl ohne externe Firewall am Internet. Bisher dachte ich immer, dass ich meinen Rechner soweit sicher eingerichtet hab, dass mir da keine unmittelbare Gefahr droht. Aber jetzt hab ich da im Moment so meine Zweifel. Kann auch sein, dass ich mich täusche, aber das fand ich jetzt doch etwas beängstigend. Und zwar:

Hier erstmal, wie ich zunächst die iptables eingerichtet hab

# iptables -nvL
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 9654   16M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
18204   18M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:$(geheim)
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:$(auch geheim :D)
  119 10895 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 5/min burst 5 LOG flags 0 level 7 prefix "iptables denied: "
 2614  264K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 30734 packets, 18M bytes)
 pkts bytes target     prot opt in     out     source               destination

(ob ich die letzte Zeile in "Chain INPUT" brauche oder nicht, bin mir net sicher, aber schaden kann sie glaub nicht)
Wie ihr seht, hab ich eingestellt, dass die verhinderten Verbindungen geloggt werden. Daraufhin hab ich mal aus Interesse gleich in die Logdatei /var/log/everything.log geschaut und traute meinen Augen nicht. Hier mal ein Auszug

Jul 23 01:38:13 localhost kernel: [49244.258138] iptables denied: IN=eth0 OUT= MAC=00:0a:e4:a5:67:84:00:15:2c:fa:bb:80:08:00 SRC=212.45.14.159 DST=$(meine IP) LEN=131 TOS=0x00 PREC=0x00 TTL=119 ID=29478 PROTO=UDP SPT=20068 DPT=6881 LEN=111 
Jul 23 01:38:27 localhost kernel: [49258.394148] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:1d:72:5b:9c:eb:08:00 SRC=134.60.102.114 DST=255.255.255.255 LEN=165 TOS=0x00 PREC=0x00 TTL=128 ID=21683 PROTO=UDP SPT=17500 DPT=17500 LEN=145 
Jul 23 01:38:36 localhost kernel: [49267.552537] iptables denied: IN=eth0 OUT= MAC=00:0a:e4:a5:67:84:00:15:2c:fa:bb:80:08:00 SRC=202.1.204.70 DST=$(meine IP) LEN=58 TOS=0x00 PREC=0x00 TTL=110 ID=9047 PROTO=UDP SPT=54780 DPT=57498 LEN=38 
Jul 23 01:38:48 localhost kernel: [49279.981425] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:90:e6:ba:9d:90:df:08:00 SRC=134.60.102.65 DST=255.255.255.255 LEN=157 TOS=0x00 PREC=0x00 TTL=128 ID=26431 PROTO=UDP SPT=17500 DPT=17500 LEN=137 
Jul 23 01:39:00 localhost kernel: [49291.862825] iptables denied: IN=eth0 OUT= MAC=00:0a:e4:a5:67:84:00:15:2c:fa:bb:80:08:00 SRC=67.164.193.109 DST=$(meine IP) LEN=131 TOS=0x00 PREC=0x00 TTL=113 ID=21926 PROTO=UDP SPT=10481 DPT=6881 LEN=111 
Jul 23 01:39:11 localhost kernel: [49302.898098] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:1d:72:5b:9c:eb:08:00 SRC=134.60.102.114 DST=255.255.255.255 LEN=44 TOS=0x00 PREC=0x00 TTL=128 ID=22685 PROTO=UDP SPT=52877 DPT=8612 LEN=24 
Jul 23 01:39:25 localhost kernel: [49316.049253] iptables denied: IN=eth0 OUT= MAC=00:0a:e4:a5:67:84:00:15:2c:fa:bb:80:08:00 SRC=77.27.68.34 DST=$(meine IP) LEN=131 TOS=0x00 PREC=0x00 TTL=116 ID=9259 PROTO=UDP SPT=24672 DPT=6881 LEN=111 
Jul 23 01:39:43 localhost kernel: [49334.359683] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:1d:72:5b:9c:eb:08:00 SRC=134.60.102.114 DST=255.255.255.255 LEN=44 TOS=0x00 PREC=0x00 TTL=128 ID=23483 PROTO=UDP SPT=59347 DPT=8612 LEN=24 
Jul 23 01:39:47 localhost kernel: [49338.693512] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:22:15:17:ca:3d:08:00 SRC=134.60.102.121 DST=255.255.255.255 LEN=68 TOS=0x00 PREC=0x00 TTL=128 ID=16625 PROTO=UDP SPT=63163 DPT=1947 LEN=48 
Jul 23 01:40:04 localhost kernel: [49355.871520] iptables denied: IN=eth0 OUT= MAC=00:0a:e4:a5:67:84:00:15:2c:fa:bb:80:08:00 SRC=189.18.163.8 DST=$(meine IP) LEN=131 TOS=0x00 PREC=0x00 TTL=112 ID=26532 PROTO=UDP SPT=32970 DPT=6881 LEN=111

Ist das normal?! Was sind denn das für Rechner, die da an meinen ran wollen? Sind das irgendwelche Botnetze? Was vielleicht erwähnenswert ist, ich hab ne Domain registriert, die immer auf meine IP zielt, damit ich einfacher Links anbieten kann, wenn ich mal jemandem ne Datei zum runterladen anbieten will, indem ich nen kleinen Webserver (quickserve) anwerfe. Liegt das daran?

Ich seh sowas echt zum ersten Mal, für manche wahrscheinlich ein alter Hut. Aber würd mich echt interessieren was da abgeht.

Danke euch 🙂

MilkFreeze

Also, du bist Student, ja?
Das sieht für mich nach einer Abfrage von einem der internen Uni-Server aus. 134.60.102.X gehöret anscheinend der "wh-keltern.uni-ulm.de", zumindest lassen das meine Stichproben erahnen (nslookup ist großartig). Die anderen IPs gehören wohl zu den IP-blöcken diverser Provider (bspw. Telesp, Comcast), hab aber nicht alle durchgetestet. Zumindest einer wollte mir keine Auskunft via nslookup geben, hat aber auf einen Ping geantwortet.

Strange ist aber, das alle Anfragen auf UDP-Ports gezielt haben. Ich würde dir empfehlen alle anfragen auf UDP-Ports mit einem REJECT statt DENY abzuweisen, dann könnten die Anfragen abnehmen (weil eventuelle Bots merken das da nichts ist. Pings abweisen kann auch helfen, allerdings kann das anderswo zu Problemen führen, würde ich also nur bedingt empfehlen. Generell schützt dich ja Iptables schon vor den (mutmaßlichen) Einbrechern.

Warum die Uni solche komischen anfragen schickt kann ich dir nicht sagen, frag mal den zuständigen Admin was das ist. Und noch eine Sache: Wenn du einen SSHD laufen hast, dann pack ein Limit auf den Port, nicht das da jemand das Password durch bruteforcen errät. Das dürfte nicht so prickelnd sein 😉

Army

Ok, ja meine IP ist 134.60.102.XX, also 134.60.102. gehört zu meinem Wohnheim ("wh-keltern.uni-ulm.de" steht für "Wohnheim Kelternweg Uni-Ulm"), 134.60. ist die Uni. Diese IPs, zB 134.60.102.114, die gehört einem anderen Studenten, zB die 134.60.102.65 auch. Diese Anfragen kommen also von diesen Rechnern. Hab die gerade mal gescannt. Ist zwar wahrscheinlich nicht besonders nett von mir, das zu tun, evtl sogar illegal (nmap das Hackertool 😃), aber so wie es aussieht läuft auf beiden Windows.
Die IP, von der du keine Auskunft via nslookup bekommen hast, könnte auch mit Bittorrent zusammenhängen. Mir ist nach dem Posten eingefallen, dass das ja noch im Hintergrund lief. Aber auch nach Abschalten kamen die vielen Anfragen, das liegt also nicht an Bittorrent.
Danke für den Tipp mit dem Limit, werd ich mich gleich mal drum kümmern.

GerBra

Army schrieb Ist das normal?! Was sind denn das für Rechner, die da an meinen ran wollen?

Willkommen in der Realität des "normalen Grundrauschens" im heutigen Internet ;-)

Der überwiegende Teil der Pakete (bei Privatnutzern mit dynamischer IP) sind "Tauschbörsenanfragen" an z.b: die vormaligen Nutzer dieser IP. Die "Gegenstellen" haben diese (Film/Musik/Torrent) noch in ihrem Client aktiv und fragen diese periodisch ab. Jetzt hast DU diese IP aber bekommen...
Sieht man auch an den Portnummern (alle Nummern <1000 sind z.B. für "richtige" Systemdienste per Standard "reserviert", über 1000 sind i.d.R. Userdienste).

Diese Anfragen sind bei dir wohl auch vor iptables schon "ins Leere gelaufen" (da kein Programm diese Anfragen verarbeitet hat), jetzt betreibst du halt durch Loggen einen höheren Aufwand (Rechenzeit). Einen Sicherheitsgewinn hast du aktuell nicht, und auch nicht weniger "Traffic". Durch die Drop-Policy verhinderst du halt (und das ist das Sinnvolle daran) daß "irgendwann" einmal ein Paket an diese Ports verarbeitet würde wenn du z.B. auf udp/8612 ein mal ein lauschendes Tool aktivierst...