Offener NetBios Port :-(

Phlow · 12.11.2001, 15:26

Hi

Ich habe mir mal die WCM Box als router bei mir in den Keller gestellt, doch was sehen meine entzündeten Augen da ... Die Netbios Ports sind (wegen laufendwm Samba Fileserver) offen (auch gegenüber dem I-Net). Natürlich mag ich das gar net so gerne, daher meine Frage:

Wie kann ich die am besten schliessen (ich verwende RedHat 7.2, und tu mir daher mit den für Suse angegeben Konfigurationen sowieso a bissl schwer *g*)

Also ich wäre für jeden Tip dankbar (btw. gibts eigentlich eine möglichkleit den Server in eine Art stealth Modus zu setzen (wenn ich meine FW am Win32 rechner anhabe, dann sind alle Ports im Stealth modus, beim Linux server sind zwar alle "closed" (ausser dem Netbios Port), aber eben nicht unsichtbar

mfg Phlow

Angel · 12.11.2001, 15:34

Eine schnelle Antwort: In dem Konfig-File, wo deine Firewallregeln stehen mußt du die auf die externe Anbindung (Netzwerkkarte, Modem, ISDN, etc.) eingehende Verbindungen (sowohl UDP als auch TCP) auf den Ports 137-139 sperren. Je nach Kernel (2.2 oder 2.4) sind unterschiedliche Kommandos dafür notwendig. Für 2.2 verweise ich auf das IPCHAINS-How-To auf http://www.linux.org. Ich weiß leider nicht, ob es schon ein NetFilter-How-To für 2.4 gibt

TuXuS · 12.11.2001, 16:35

hallo phlow!

du bist also auch hier unterwegs und soagar schon principal...

rest meines wissenstandes siehe tplus-forum...

Phlow · 12.11.2001, 18:26

@Tuxus.

.. jo, bin schon a bissi länger hier im WCM Forum. Der Link den du mir im Tplus Forum gepostet hast, war sehr aufschlussreich, nur bin ich scheinbar zu dumm dafür, denn als ich das getan habe was da drin stand, habe ich mich selbst ausgesperrt *grrr*. Sprich, nix mehr mit ssh verbindung, sprich: Monitor schnappen, in den Keller zum Server tragen, .... na jo, a mist halt

Deswegen wollte ich wissen obs noch irgendwie anders auch geht. (weil jetzt trau ich mich nimmer

)

cya Phlow

MANX · 12.11.2001, 18:42

Hi!

Fragen:

Welchen Paketfilter hast Du im Einsatz (ipchains, iptables)?

Welche Internetanbindung?
Welche Netzwerkkomponenten (1 NIC, 2 NICs,
Modem usw.)

Schaun ma mal

Manx

Phlow · 12.11.2001, 19:17

alsoooo...

meine bisherigen einträge bestehen aus:

modprobe ipt_MASQUERADE # If this fails, try continuing anyway
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to xxx.xx.xxx.xx
echo 1 > /proc/sys/net/ipv4/ip_forward

in der etc/rc.d/rc.local

Internetanbindung: Breitband (sowas ähnliches wie Chello nur a bissi besser *g*)
Netzwerkkomponenten: 2 Nics, 1 Nic an kabelmodem, 1 Nic an Hub, am Hub noch einige WinXP/2000 rechner. Der Server soll als Router laufen, und alle User im Lan sollen auf ein Verzeichnis am Server zugreifen können (daher der Samba Dienst).

Ich denke das die bisherige konfiguration nur unzureichend Schutz bietet, also bin ich schon gespannt auf eure Antworten ...

thx Phlow

MANX · 12.11.2001, 21:45

Hi!

o.k.

Wie ich sehe arbeitest Du mit IPTABLES.
Als erstes ein Literatur TIPP:
http://www.susepress.de/de/katalog/3...0_8/index.html

Auf der Homepage des Autors gibt's fertige Firewallscripts zum Download.

Willst Du das Buch nicht kaufen, sollte da was dabei sein:
http://www.linuxsecurity.com/resources/firewalls-1.html

Zu Deinem Problem:

Code:

IPTABLES -A INPUT -i eth0 -p TCP --dport 137 -j DROP
IPTABLES -A INPUT -i eth0 -p UDP --dport 137 -j DROP
IPTABLES -A INPUT -i eth0 -p TCP --dport 138 -j DROP
IPTABLES -A INPUT -i eth0 -p UDP --dport 138 -j DROP
IPTABLES -A INPUT -i eth0 -p TCP --dport 139 -j DROP
IPTABLES -A INPUT -i eth0 -p UDP --dport 139 -j DROP

Das sollte die NETBIOS ports schließen!

ABER!!!!

Eine vernünftige Firewallstrategie ist es von vorne herein alles zu verbieten und nur jene benötigten Dienste zu erlauben.
Das ganze in einem Script gelöst.
=> vor allem deshalb einfacher, weil mit Variablen gearbeitet werden kann.

Grüße

Manx

PS: Ich hoffe das passt so, hab's nicht getestet.

Phlow · 12.11.2001, 22:18

... habe das ganze jetzt auch in die rc.local geschrieben, es hat nur leider nix gebracht, auf der seite https://grc.com/x/ne.dll?bh0bkyd2 wird noch immer angezeigt das die Netbios Ports offen sind.

Gehört das vielleicht gar nicht in die rc.local?

cya Phlow

MANX · 12.11.2001, 22:50

Hi!

Poste mal den Output von "iptables -vL"

Grüße

Manx

MANX · 12.11.2001, 23:04

... und einen Reboot hast eh auch gemacht?

Manx

12.11.2001, 15:26	#1
Phlow Veteran Registriert seit: 22.08.2000 Beiträge: 282	Offener NetBios Port :-( Hi Ich habe mir mal die WCM Box als router bei mir in den Keller gestellt, doch was sehen meine entzündeten Augen da ... Die Netbios Ports sind (wegen laufendwm Samba Fileserver) offen (auch gegenüber dem I-Net). Natürlich mag ich das gar net so gerne, daher meine Frage: Wie kann ich die am besten schliessen (ich verwende RedHat 7.2, und tu mir daher mit den für Suse angegeben Konfigurationen sowieso a bissl schwer g) Also ich wäre für jeden Tip dankbar (btw. gibts eigentlich eine möglichkleit den Server in eine Art stealth Modus zu setzen (wenn ich meine FW am Win32 rechner anhabe, dann sind alle Ports im Stealth modus, beim Linux server sind zwar alle "closed" (ausser dem Netbios Port), aber eben nicht unsichtbar mfg Phlow

12.11.2001, 21:45	#7
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	Hi! o.k. Wie ich sehe arbeitest Du mit IPTABLES. Als erstes ein Literatur TIPP: http://www.susepress.de/de/katalog/3...0_8/index.html Auf der Homepage des Autors gibt's fertige Firewallscripts zum Download. Willst Du das Buch nicht kaufen, sollte da was dabei sein: http://www.linuxsecurity.com/resources/firewalls-1.html Zu Deinem Problem: Code: IPTABLES -A INPUT -i eth0 -p TCP --dport 137 -j DROP IPTABLES -A INPUT -i eth0 -p UDP --dport 137 -j DROP IPTABLES -A INPUT -i eth0 -p TCP --dport 138 -j DROP IPTABLES -A INPUT -i eth0 -p UDP --dport 138 -j DROP IPTABLES -A INPUT -i eth0 -p TCP --dport 139 -j DROP IPTABLES -A INPUT -i eth0 -p UDP --dport 139 -j DROP Das sollte die NETBIOS ports schließen! ABER!!!! Eine vernünftige Firewallstrategie ist es von vorne herein alles zu verbieten und nur jene benötigten Dienste zu erlauben. Das ganze in einem Script gelöst. => vor allem deshalb einfacher, weil mit Variablen gearbeitet werden kann. Grüße Manx PS: Ich hoffe das passt so, hab's nicht getestet.

12.11.2001, 15:34	#2
Angel Master Registriert seit: 09.11.1999 Beiträge: 696	Eine schnelle Antwort: In dem Konfig-File, wo deine Firewallregeln stehen mußt du die auf die externe Anbindung (Netzwerkkarte, Modem, ISDN, etc.) eingehende Verbindungen (sowohl UDP als auch TCP) auf den Ports 137-139 sperren. Je nach Kernel (2.2 oder 2.4) sind unterschiedliche Kommandos dafür notwendig. Für 2.2 verweise ich auf das IPCHAINS-How-To auf http://www.linux.org. Ich weiß leider nicht, ob es schon ein NetFilter-How-To für 2.4 gibt

12.11.2001, 16:35	#3
TuXuS Veteran Registriert seit: 18.07.2001 Beiträge: 384	hallo phlow! du bist also auch hier unterwegs und soagar schon principal... rest meines wissenstandes siehe tplus-forum...

12.11.2001, 18:26	#4
Phlow Veteran Registriert seit: 22.08.2000 Beiträge: 282	@Tuxus. .. jo, bin schon a bissi länger hier im WCM Forum. Der Link den du mir im Tplus Forum gepostet hast, war sehr aufschlussreich, nur bin ich scheinbar zu dumm dafür, denn als ich das getan habe was da drin stand, habe ich mich selbst ausgesperrt grrr. Sprich, nix mehr mit ssh verbindung, sprich: Monitor schnappen, in den Keller zum Server tragen, .... na jo, a mist halt Deswegen wollte ich wissen obs noch irgendwie anders auch geht. (weil jetzt trau ich mich nimmer ) cya Phlow

12.11.2001, 18:42	#5
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	Hi! Fragen: Welchen Paketfilter hast Du im Einsatz (ipchains, iptables)? Welche Internetanbindung? Welche Netzwerkkomponenten (1 NIC, 2 NICs, Modem usw.) Schaun ma mal Manx

12.11.2001, 19:17	#6
Phlow Veteran Registriert seit: 22.08.2000 Beiträge: 282	alsoooo... meine bisherigen einträge bestehen aus: modprobe ipt_MASQUERADE # If this fails, try continuing anyway iptables -F iptables -t nat -F iptables -t mangle -F iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to xxx.xx.xxx.xx echo 1 > /proc/sys/net/ipv4/ip_forward in der etc/rc.d/rc.local Internetanbindung: Breitband (sowas ähnliches wie Chello nur a bissi besser g) Netzwerkkomponenten: 2 Nics, 1 Nic an kabelmodem, 1 Nic an Hub, am Hub noch einige WinXP/2000 rechner. Der Server soll als Router laufen, und alle User im Lan sollen auf ein Verzeichnis am Server zugreifen können (daher der Samba Dienst). Ich denke das die bisherige konfiguration nur unzureichend Schutz bietet, also bin ich schon gespannt auf eure Antworten ... thx Phlow

12.11.2001, 22:18	#8
Phlow Veteran Registriert seit: 22.08.2000 Beiträge: 282	... habe das ganze jetzt auch in die rc.local geschrieben, es hat nur leider nix gebracht, auf der seite https://grc.com/x/ne.dll?bh0bkyd2 wird noch immer angezeigt das die Netbios Ports offen sind. Gehört das vielleicht gar nicht in die rc.local? cya Phlow

12.11.2001, 22:50	#9
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	Hi! Poste mal den Output von "iptables -vL" Grüße Manx

12.11.2001, 23:04	#10
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	... und einen Reboot hast eh auch gemacht? Manx

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)