[HaBo]

Kingston89

Anzeige

Mooooin :)
Ich hatte hier ja neulich wegen meinem Linux Router Projekt gefragt, der läuft jetzt, gut und schön ;)
Jetzt bin ich dabei die Firewall anständig einzustellen, also über iptables um Programme ala edonkey, torrent, gnutella usw auszusperren.
nach reichlichem rumprobieren musste ich leider feststellen dass die fast alle upnp benutzen und somit über eine weite Portrange verfügen (10000-65535)
Die alle zu sperren wäre natürlich ne schmutzige aber funktionierende Lösung aber ich will ja kein ChinaNetz simulieren und auf gut Glück alles schlechte blocken ;)
Also hat jemand ne Idee wie ich gezielt diese Dienste blocken kann?
Danke euch schonmal :)

Mein Router:
kernel 2.6.18-5-486
Distributor ID: Debian
Release: 4.0r1
Codename: etch

quux

Was hat iptables mit upnp zu tun?
Setz die Policy für INPUT, OUTPUT und FORWARD auf DROP und erlaube explizit das, was rein und raus soll.

Iptables macht aber nichts anderes als Pakete nach bestimmten Regeln zu filtern. Wenn die Regeln besagen dass alle Pakete verworfen werden sollen bis auf ganz bestimmte Ausnahmen, dann interessiert das den Linux-Kernel wenig, wenn die ganze Zeit Anfragen kommen ob er Port xyz öffnet...

Kingston89

mh teilweise werden hier aber Ports von den Mietern genutzt die innerhalb dieser Portrange liegen, als Beispiel wäre da z.b. ICQ & MSN, ob die jetzt wirklich dazwischen liegen weiß ich grad net. Aber es gibt einfach zuviele Dinge die die benutzen wollen als dass ich die alle identifzieren könnte.
Würde es in deinen Augen eine akzeptable Lösung upnp zu deaktivieren? brauch ich ja eigentlich nicht

quux

Also nochmal:
UPnP hat so nichts direkt mit iptables zu tun. Iptables ist ein Kernel-Modul, und mit dem entscheidet der Kernel was er mit jedem Paket machen soll, das an ihm vorbeigeht.
Wenn du nun UPnP mit Iptables verwenden willst, müsstest du noch einen Dienst laufen haben der dann autom. dem iptables-modul mitteilt welche Ports geöffnet und wohin sie geforwarded werden sollen. Allerdings hab ich das selber noch nie gemacht. Und wenn du es eigentlich nicht brauchst, dann lass es lieber, da es auch ein gewisses Sicherheitsrisiko birgt.

Und wenn deine Internet-Nutzer bestimmte Programme benutzen wollen, dann öffne ihnen halt noch die Ports die sie brauchen. Da findest du eigentlich genug wenn du mal googlest, z.b. "iptables icq" "msn port" usw

Kingston89

mh ok, nochmal zur Theorie: upnp kann nur genutzt werden wenn die Firewall damit auch arbeiten kann, richtig? Und die Firewall ist nicht zwingen iptables, richtig? Frage mich zwar was da auf dem router upnp zur Verfügung stellt aber wenn ich upnp support deaktiviere sollte diese Problematik mit der riesen port range von torrent & co doch gelöst sein. Schliesslich schaut torrent doch über upnp nach welche Ports offen sind, so hab ich das jetzt verstanden

quux

Eine Hardware-Firewall ist eigentlich ein Gesamtkonzept, das mindestens aus 2 Komponenten aufgebaut ist: Einen Software-Teil (Packetfilter bspw) und einen Hardware-Teil (Routing zwischen den einzelnen Netzwerk-Segmenten).
Ich vermute mal, dass du so etwas basteln willst.
Eine HW-Firewall funktioniert grob erklärt so: Du hast verschiedene Netzwerkkarten (sog. Netzwerkinterfaces), und an jedem Interface hängt ein anderes Netzwerk-Segment (bspw Karte A = LAN und Karte B = Internet (WAN) ), nun musst du explizit festlegen welche Pakete aus dem LAN ins WAN dürfen und umgekehrt.
Da kommt der Software-Teil ins Spiel, der nun entscheidet was mit den Paketen passieren soll. Mit Hilfe von iptables kannst du anhand von einfachen logischen Regeln entscheiden wie mit dem Paket verfahren werden soll, entweder durchlassen und ins LAN weiterleiten oder verwerfen oder nur den Port öffnen wegen einem lokalen Dienst (ssh aus dem LAN z.B.). Die Möglichkeiten sind fast grenzenlos...

UPnP ist ein "Steuerungs-Standard" für verschiedenste Hardware-Komponenten. Einfach ausgedrückt besagt er nur wie bestimmte Schnittstellen miteinander kommunizieren sollen. Z.B. kann dadurch Torrent-Programm XY dem normalen Haus-Router mitteilen welche Ports bei Bedarf geöffnet werden sollen. Dazu läuft dann ein Dienst auf dem Haus-Router der auf solche UPnP-Anfragen lauscht und diese umsetzt bzw weiterleitet an ein anderes Programm.

Also:
Nein Iptables kann nichts direkt mit UPnP anfangen. Du musst Iptables passend konfiguieren und was wichtiger ist: Einen Dienst laufen lassen, der Iptables dann dynamisch anpasst.

Wie oben erklärt ist Iptables der Software-Teil einer HW-Firewall, ein sogenannter Paketfilter. Und da gibts auch noch andere.

"Torrent" schaut nicht über UPnP nach, sondern über den UPnP-Standard wird die Kommunikation geregelt sodass ein Programm Ports an einer entfernten HW-Schnittstelle (Haus-Router) öffnen kann.

Bei Google findest du Unmengen zu den Themen. Auch hier in der Wiki gibts glaub nen Artikel zu Firewalls. Oder schau mal auf Wikipedia vorbei usw....
Das Thema is so komplex, das kann man net wirklich in einem Post zusammenfassen

Kingston89

ah alles klar Danke
kann ich denn nicht auf dem Hardwarerouter im software oder hardwareteil (wie auch immer) deaktivieren dass der upnp Standard genutzt wird? Sorry dass ich mich wiederhole oder so, hab halt das Gefühl dass du noch net weiß was ich machen will. Also Danke dir aufjedenfall schonmal ich schau derweil ma in den diversen Wiki's usw nach

edit:/ Achso ehm, wieso funktioniert torrent & co denn über die gesamte portrange obwohl in iptables -L und -t nat -L nur von mir definierte Dinge drinstehen? Offensichtlich weil keine Programm die upnp "Befehle" oder wie man es nennen mag an iptables weitergibt, mh ok aber wieso kann torrent dann trotzdem arbeiten?
Tut mir leid dass ich nicht die Geduld hab mir jetzt x manuals durchzu lesen, aber ich muss am 02.01 zum Bund und bin die nächsten 3 Tage nicht da

quux

Wenn du ein Konfigurationsmenü für ne HW-Firewall hast, kannst du dort UPnP (de)aktivieren. Wenn du dir selbst so ein Hausrouter bzw eine HW-Firewall baust, musst du den UPnP-Support einbauen, in Form eines Dienstes und der richtigen iptables-Konfiguration.Wenn du keinen UPnP-Support willst, lass das einfach weg und widme dich nur iptables

Iptables hat Standard-Richtlinien wie es mit allen Paketen umgehen soll. Das nennt man Default-Policies. Für jede Chain gibts ne Default-Policy. Normalerweise stehn sie auf ACCEPT. Da das aber dem Sinn einer Firewall (meistens) widerspricht setzt man normalerweise als erstes mal alle Policies auf DROP. Und dann erlaubt man ganz explizit den Verkehr den man will.
Daher is UPnP in diesem Fall völlig unerheblich, da erstmal ALLE Ports dicht gemacht werden. Nur die Ports die du vorher definiert hast werden überhaupt geöffnet.

Hier ist ein relativ einfaches und gut erklärtes Beispiel (ohne Stateful Inspection o.ä.):
http://www.planet-rcs.de/de/article/iptables/

Ich kann dir dazu nun auch leider net mehr sagen, da ich weder genau weiß was du machen willst, noch deine Netzwerktopologie kenne.

Kingston89

ah also wurde mein upnp durch die "accept" Regeln ersetzt, sozusagen
Hab übrigens keine GUI drauf, haste glaub ich grad vermutet, oder? naja tut ja eigentlich nichts zur Sache.

hab dir hier ma alle Infos geuppd die du brauchen könntest:
das grundliegende iptablesscript
route
/etc/network/interfaces