Moin,
ich bastle etwas mit iptables und nutze zum testen
http://www.lfd.niedersachsen.de/service/service_selbstt.html
Soweit so gut. Das, was dicht sein soll, ist auch dicht. Ich kann auch eth0 dicht machen und das mit einem Rechner im lokalen Netz testen (nmap, telnet auf Ports, alles wie gewünscht)
Was mich wundert:
wenn ich Port 80 freigebe, dann klappt das im lokalen Netz, nicht aber für ippp0. Ich habe schon in der httpd.conf geschaut, aber auch da nix gefunden. Es scheint, als ob der Indianer nur auf anfragen des internen Netzes reagiert und auf nix anderes. Kann das sein?
Andreas
On Sun, Dec 02, 2001 at 10:10:17AM +0100, Andreas Kretschmer wrote: : : wenn ich Port 80 freigebe, dann klappt das im lokalen Netz, nicht aber : für ippp0. Ich habe schon in der httpd.conf geschaut, aber auch da nix : gefunden. Es scheint, als ob der Indianer nur auf anfragen des internen : Netzes reagiert und auf nix anderes. Kann das sein?
M.W. guckt der am Anfang nach, welche Interfaces es gibt und auf die bindet er sich dann auch. Noch schlimmer, wenn Du NameVirtualHost hast. Dann ist das obendrein auch noch IP-basiert:
NameVirtualHost 212.172.233.34
<VirtualHost 212.172.233.34:80> ServerName hallo.ballo.de ... </VirtualHost>
Mach' mal ein `apachectl graceful' (notfalls auch mal ein restart) wenn ippp0 open ist und eine gueltige Adresse hat.
Heiko
am Sun, dem 02.12.2001, um 11:48:09 +0100 mailte Heiko Schlittermann folgendes:
M.W. guckt der am Anfang nach, welche Interfaces es gibt und auf die bindet er sich dann auch. Noch schlimmer, wenn Du NameVirtualHost hast.
Danke Dir und Reinhard.
Es klappt dennoch nicht. Eigenartigerweise auch keine Spuren in den Logs. Ich vermute schon fast, mein Provider sperrt wegen RodeRed oder so. Oder ich mache grundlegend was flasch...
Andreas
am Sun, dem 02.12.2001, um 19:32:37 +0100 mailte Andreas Kretschmer folgendes:
Logs. Ich vermute schon fast, mein Provider sperrt wegen RodeRed oder so. Oder ich mache grundlegend was flasch...
Eben 'ne Mail vom Support: ja, die filtern Port 80. Ohne Info an die Kunden. Mistbande.
Andreas, verärgert.
On Sun, Dec 02, 2001 at 08:21:08PM +0100, Andreas Kretschmer wrote:
am Sun, dem 02.12.2001, um 19:32:37 +0100 mailte Andreas Kretschmer folgendes:
Logs. Ich vermute schon fast, mein Provider sperrt wegen RodeRed oder so. Oder ich mache grundlegend was flasch...
Eben 'ne Mail vom Support: ja, die filtern Port 80. Ohne Info an die Kunden. Mistbande.
Dann setz' ihn doch auf einen anderen Port. Und ob Filter oder nicht Filter wird Dir auch tcpdump auf ippp0 erzählen.
Oder das o.g. port-Scan-Tool.
Heiko
am Mon, dem 03.12.2001, um 13:30:50 +0100 mailte Heiko Schlittermann folgendes:
Eben 'ne Mail vom Support: ja, die filtern Port 80. Ohne Info an die Kunden. Mistbande.
Dann setz' ihn doch auf einen anderen Port. Und ob Filter oder nicht
Sicher, man kann vieles tun.
Nur die Argumentation, man sperrt den Kunden Port 80 um sie vor CodeRed zu schützen führt wohl dahin, daß morgen POP, IMAP und SMTP gesperrt wird, um BadTrans zu blocken. Solch ein Konzept geht nicht auf, und daher bin ich noch immer stinke wütend!
Andreas
On Mon, Dec 03, 2001 at 06:10:54PM +0100, Andreas Kretschmer wrote:
Nur die Argumentation, man sperrt den Kunden Port 80 um sie vor CodeRed zu schützen führt wohl dahin, daß morgen POP, IMAP und SMTP gesperrt wird, um BadTrans zu blocken. Solch ein Konzept geht nicht auf, und daher bin ich noch immer stinke wütend!
Versteh' ich ja. Es gibt auch andere (RIODATA), die sperren eben mal SNMP (kann sein, daß es inzwischen wieder geht...) weil sie als Zielscheibe dienten.
Aber ich dachte, Dir geht's um's (Funktions)prinzip.
Heiko
am Mon, dem 03.12.2001, um 20:54:45 +0100 mailte Heiko Schlittermann folgendes:
Versteh' ich ja. Es gibt auch andere (RIODATA), die sperren eben mal SNMP (kann sein, daß es inzwischen wieder geht...) weil sie als Zielscheibe dienten.
Aber ich dachte, Dir geht's um's (Funktions)prinzip.
Prinzip ja ;-)
Aber darum, daß es keinen Sinn macht, einfach nur Ports zu sperren. Irgendwo stand heute bei Heise, daß Puretec Viren aus Mails filtert, allerdings nicht immer und alle. Schönes Beispiel, das sowas keinen Sinn macht, die vermeintliche Sicherheit ist trügerisch.
Eigene Erfahrung: den ersten BadTrans fand ich durch ein grep in /var/spool/mail nach 'yesterday', weil ich Sonntag das bei Heise las. Die Mail ging Sonntag in der Firma ein, der Virenscanner bekam sein Update erst ein paar Stunden später. Zum Glück (für die Firma) bin ich immer recht zeitig auf Arbeit...
Mal schauen, der Typ von der Hotline weiß selber nicht genau, was dort eigentlich gemacht wird. Erst sagte er mir, kein Problem, ich soll beantragen, daß 80 wieder aufgemacht wird, nun weiß er nicht recht, ob die Techniker das auch schaffen. Laufen lassen und beobachten, es ist ja für mich nicht lebenswichtig. Nur habe ich das Gefühl, das dort Leute sitzen, die nicht allzu viel Ahnung haben von dem, was sie tun...
Andreas
am Mon, dem 03.12.2001, um 21:33:40 +0100 mailte Andreas Kretschmer folgendes:
die Techniker das auch schaffen. Laufen lassen und beobachten, es ist ja für mich nicht lebenswichtig. Nur habe ich das Gefühl, das dort Leute sitzen, die nicht allzu viel Ahnung haben von dem, was sie tun...
Nur zur Info:
nachdem ich mich recht laut darüber beschwert und denen erklärt habe, daß ich nicht bereit bin wegen der Blödheit einiger eNTen-Admins mich in meinen technischen Möglichkeiten beschränken zu lassen, wurde heute Port 80 wieder für mich geöffnet.
Und nein, sehenswerte Dinge habe ich da nicht zu sehen, daher bleibt meine Firewall auch auf 80 dicht ;-)
Andreas
Andreas Kretschmer wrote:
nachdem ich mich recht laut darüber beschwert und denen erklärt habe, daß ich nicht bereit bin wegen der Blödheit einiger eNTen-Admins mich in meinen technischen Möglichkeiten beschränken zu lassen, wurde heute Port 80 wieder für mich geöffnet.
Da hast Du Glück gehabt, bei einigen Providern kann es schon mal passieren, daß die meinen dieser Zugang sei nicht für Serverdienste gedacht. :-((
Und nein, sehenswerte Dinge habe ich da nicht zu sehen, daher bleibt meine Firewall auch auf 80 dicht ;-)
Bezahlt ihr nach Traffic? Dann hast Du dir soeben welchen eingehandelt. Selbst wenn deine Firewall dicht ist geht der Traffic von CodeRed u.ä. erstmal über die Leitung. Das ist der Preis der Freiheit.
Rico
Am Freitag, dem 21. Dezember 2001 um 14:04:22, schrieb Rico Koerner:
Bezahlt ihr nach Traffic? Dann hast Du dir soeben welchen eingehandelt. Selbst wenn deine Firewall dicht ist geht der Traffic von CodeRed u.ä. erstmal über die Leitung. Das ist der Preis der Freiheit.
Nur das jeweils erste SYN-Paket, wenn die Firewall mit REJECT darauf antwortet, d. h. nur ganz wenig Traffic.
Torsten
lug-dd@mailman.schlittermann.de
-
Andreas Kretschmer -
Heiko Schlittermann -
Rico Koerner -
Torsten Werner