• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

SuseFW2 offene UDP ports ?

D

Dr.Green

Newbie
Hallo,

Ich habe Suse 9.1 laufen und die SuseFW2. So weit so gut bei einem Portscan ist mir aufgefallen das alle TCP ports gefilter sind aber die UDP ports nicht? Das ist nicht so toll, da ich aber leider nicht wirklich so den durch blick habe wüste ich nicht wie ich das einstellenkann. Im yast habe ich keine option dediziert UDP oder TCP anzugeben.

besten dank schon mal.....
rg
Dr.Green
 
OP
D

Dr.Green

Newbie
Hi Leute,

Kein Antwort ;( schade eigentlich. Wo ran liegt es ist meine Frage unklar !?

thx and rg
Dr.Green
 
L

litemaster

Member
Dr.Green schrieb:
Wo ran liegt es ist meine Frage unklar !?
Zum Vergrößern anklicken....
Hängt vielleich auch damit zusammen, dass da (trotz eines :?:) gar keine Frage vorkommt.. ;)

Dr.Green schrieb:
So weit so gut bei einem Portscan ist mir aufgefallen das alle TCP ports gefilter sind aber die UDP ports nicht?
Zum Vergrößern anklicken....
Grundsätzlich ist alles blockiert, was nicht explizit angegeben wird. Da unter YaST2 lediglich TCP-Dienste freigegeben werden können (zusätzliche zu den Vorgeschlagenen über den "Experten"-Knopf), sind sämtliche UDP-Ports per Default geschlossen. :!:

Wenn du einzelne UDP-Ports öffnen willst, kommst du - nachdem du mit YaST das gröbste eingerichtet hast - um's manuelle editieren der /etc/sysconfig/SuSEfirewall2 nicht herum. Die Variablen heissen FW_SERVICES_EXT_TCP und FW_SERVICES_EXT_UDP (bei nur einer Netzwerkkarte wird dieses als "externes" Interface definiert) und enthalten die erlaubten Dienste entweder mit Namen (nach /etc/services) oder Portnummer.

Du gibst nicht an, welchen Portscanner du benutzt hast. Ich verwende im folgenden NMAP als Beispiel:

Auszug aus der Manpage:
Code: 
       -sU    UDP-Scans: Diese Methode wird stets dann herangezogen,  wenn  es
              um  das  Identifizieren  der  offenen  UDP-Ports (siehe RFC 768)
              eines Systems geht. Diese Technik basiert darauf, dass ein  UDP-
              Datagramm  mit 0 Byte an Nutzdaten an jeden Port des Zielsystems
              geschickt  wird.  Erhalten  wir  eine  ICMP  port   unreachable-
              Nachricht, so ist der Zielport geschlossen. Andererseits handelt
              es sich um einen offenen Port.

Die Firewall sollte (aus Sicherheitsgründen) Pakete auf nicht geöffnete Ports verwerfen statt mit der "Fehlermeldung" zu beantworten. Das ist vermutlich auch der Grund, warum der Portscanner offene Ports angibt, obwohl diese gesperrt sind (vgl. letzter Satz vom Manual-Auszug): Der Portscanner erhält keine Antwort und schliesst (irrtümlicherweise) auf einen geöffneten Port. :)
 
OP
D

Dr.Green

Newbie
Hi,

Sorry, aber da hast du recht !!! ;) Erst denken dan sprechzen.............

Okay ich versuche es noch mal )

Also Die FW ist aktive und filtert mir die TCP ports die ich freigegeben habe.
Ich habe aber auch zwei udp port`s frei gegeben... Diese werden nicht gefilter sonder stehen offen. Des weiteren habe ich bei einem Portscann gemerkt das nicht nur die zwei UDP ports von mir sonder auch ne menge anderer ports die nicht in der conf zu finden sind.

Wie besteht für mich die möglichkeit zu sagen das alle udp ports geschlossen werden bzw. bei einem port scann als gefiltert aufgelistet werden.


danke noch mal.....
Dr.Green
 
L

litemaster

Member
Dr.Green schrieb:
Also Die FW ist aktive und filtert mir die TCP ports die ich freigegeben habe.
Zum Vergrößern anklicken....
Ich habe das Gefühl, du verstehst unter "filtern" etwas anderes als ich.. :roll:

Wie besteht für mich die möglichkeit zu sagen das alle udp ports geschlossen werden bzw. bei einem port scann als gefiltert aufgelistet werden.
Zum Vergrößern anklicken....
Schreib bitte mal, wie du den Portscan durchführst.

litemaster schrieb:
Grundsätzlich ist alles blockiert, was nicht explizit angegeben wird.
Zum Vergrößern anklicken....

Wenn Ports bei einem Portscan als "offen" gemeldet werden, heisst das noch lange nicht, dass sie es auch sind. Das hängt mit der Scan-Methode, den gesendeten Paketen sowie deren erwarteten Antworten zusammen. Lies dir nochmal den untersten Abschnitt meines letzten Postings durch. :idea:


Von Nmap gibt's die ganze Manpage auch auf Deutsch.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben