info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
https Seiten werden geladen http Seiten nicht
12 views
Skip to first unread message
Wolfgang Bauer
Aug 11, 2016, 3:42:45 AM8/11/16
to
Servus.
OS sind auf dem Desktop-PC Mageia-5, auf dem Netbook Kubuntu.
Beide Rechner gehen über einen NAT Router/Modem ins Internet.
Auf dem Desktop-PC: Firewall aktiviert mit 104 Regeln.
Vom Mageia aus werden nur https Seiten geladen, http Seiten nicht.
Der Browser Konqueror sagt
| Die Aktion lässt sich nicht ausführen Verbindungsaufbau vom Server
| abgelehnt.
| Details der Anfrage:
| Adresse: http://www.edv-buchversand.de/
| Protokoll: http
| Datum und Zeit: Dienstag, 9. August 2016 08:07
| Zusätzliche Information: www.edv-buchversand.de: Verbindung abgelehnt
| Beschreibung:
| Server www.edv-buchversand.de lehnt eine Verbindung mit diesem
| Rechner ab.
| Mögliche Ursachen:
| Der Server ist zwar mit dem Internet verbunden, ist aber vielleicht
| nicht für die Entgegennahme von Anfragen eingerichtet.
| Der Server ist zwar mit dem Internet verbunden, stellt aber vielleicht
| den angeforderten Dienst nicht zur Verfügung (http).
| Eine Firewall (System zur Einschränkung von Internet-Anfragen), die
| entweder Ihr eigenes Netzwerk oder das Netzwerk des Fremdrechners
| abschirmt, hat vermutlich Ihre Anfrage abgelehnt.
Schalte ich hier die Firewall ab werden auch http Seiten geladen.
Vom Netbook aus gibt es kein Problem.
Weiß jemand den Grund und kann mir helfen?
Wolfgang
--
Die Katze ist nicht mein Gefangener,
sondern ein unabhängiges Wesen von fast gleichem Status,
das zufällig im selben Haus lebt, wie ich.
Konrad Lorenz
OS sind auf dem Desktop-PC Mageia-5, auf dem Netbook Kubuntu.
Beide Rechner gehen über einen NAT Router/Modem ins Internet.
Auf dem Desktop-PC: Firewall aktiviert mit 104 Regeln.
Vom Mageia aus werden nur https Seiten geladen, http Seiten nicht.
Der Browser Konqueror sagt
| Die Aktion lässt sich nicht ausführen Verbindungsaufbau vom Server
| abgelehnt.
| Details der Anfrage:
| Adresse: http://www.edv-buchversand.de/
| Protokoll: http
| Datum und Zeit: Dienstag, 9. August 2016 08:07
| Zusätzliche Information: www.edv-buchversand.de: Verbindung abgelehnt
| Beschreibung:
| Server www.edv-buchversand.de lehnt eine Verbindung mit diesem
| Rechner ab.
| Mögliche Ursachen:
| Der Server ist zwar mit dem Internet verbunden, ist aber vielleicht
| nicht für die Entgegennahme von Anfragen eingerichtet.
| Der Server ist zwar mit dem Internet verbunden, stellt aber vielleicht
| den angeforderten Dienst nicht zur Verfügung (http).
| Eine Firewall (System zur Einschränkung von Internet-Anfragen), die
| entweder Ihr eigenes Netzwerk oder das Netzwerk des Fremdrechners
| abschirmt, hat vermutlich Ihre Anfrage abgelehnt.
Schalte ich hier die Firewall ab werden auch http Seiten geladen.
Vom Netbook aus gibt es kein Problem.
Weiß jemand den Grund und kann mir helfen?
Wolfgang
--
Die Katze ist nicht mein Gefangener,
sondern ein unabhängiges Wesen von fast gleichem Status,
das zufällig im selben Haus lebt, wie ich.
Konrad Lorenz
Tim Ritberg
Aug 11, 2016, 4:16:45 AM8/11/16
to
Am 11.08.2016 um 09:42 schrieb Wolfgang Bauer:
> Servus.
>
> OS sind auf dem Desktop-PC Mageia-5, auf dem Netbook Kubuntu.
> Beide Rechner gehen über einen NAT Router/Modem ins Internet.
>
> Auf dem Desktop-PC: Firewall aktiviert mit 104 Regeln.
Wozu auf dem Desktop eine Firewall wenn du doch einen Router mit NAT hast?
> Servus.
>
> OS sind auf dem Desktop-PC Mageia-5, auf dem Netbook Kubuntu.
> Beide Rechner gehen über einen NAT Router/Modem ins Internet.
>
> Auf dem Desktop-PC: Firewall aktiviert mit 104 Regeln.
>
> Vom Mageia aus werden nur https Seiten geladen, http Seiten nicht.
> Der Browser Konqueror sagt
>
> | Die Aktion lässt sich nicht ausführen Verbindungsaufbau vom Server
> | abgelehnt.
>
> | Details der Anfrage:
> | Adresse: http://www.edv-buchversand.de/
> | Protokoll: http
> | Datum und Zeit: Dienstag, 9. August 2016 08:07
> | Zusätzliche Information: www.edv-buchversand.de: Verbindung abgelehnt
> | Beschreibung:
> | Server www.edv-buchversand.de lehnt eine Verbindung mit diesem
> | Rechner ab.
>
> | Mögliche Ursachen:
> | Der Server ist zwar mit dem Internet verbunden, ist aber vielleicht
> | nicht für die Entgegennahme von Anfragen eingerichtet.
> | Der Server ist zwar mit dem Internet verbunden, stellt aber vielleicht
> | den angeforderten Dienst nicht zur Verfügung (http).
>
> | Eine Firewall (System zur Einschränkung von Internet-Anfragen), die
> | entweder Ihr eigenes Netzwerk oder das Netzwerk des Fremdrechners
> | abschirmt, hat vermutlich Ihre Anfrage abgelehnt.
>
> Schalte ich hier die Firewall ab werden auch http Seiten geladen.
> Vom Netbook aus gibt es kein Problem.
>
> Weiß jemand den Grund und kann mir helfen?
Tim
Wolfgang Bauer
Aug 11, 2016, 4:32:15 AM8/11/16
to
Tim Ritberg schrieb:
> poste mal iptables-save hier
[root@linux-2 wolfgang]# iptables-save
# Generated by iptables-save v1.4.21 on Thu Aug 11 10:30:24 2016
*nat
:PREROUTING ACCEPT [96:15096]
:INPUT ACCEPT [27:2430]
:OUTPUT ACCEPT [1143:78894]
:POSTROUTING ACCEPT [1643:108894]
:enp3s0_masq - [0:0]
-A OUTPUT -p tcp -m tcp --dport 80 -m owner --uid-owner 972 -j RETURN
-A OUTPUT -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o enp3s0 -j enp3s0_masq
-A enp3s0_masq -s 192.168.1.0/24 -j MASQUERADE
COMMIT
# Completed on Thu Aug 11 10:30:24 2016
# Generated by iptables-save v1.4.21 on Thu Aug 11 10:30:24 2016
*mangle
:PREROUTING ACCEPT [16077:2615282]
:INPUT ACCEPT [16077:2615282]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [16121:1374554]
:POSTROUTING ACCEPT [16307:1391621]
:tcfor - [0:0]
:tcin - [0:0]
:tcout - [0:0]
:tcpost - [0:0]
:tcpre - [0:0]
-A PREROUTING -j tcpre
-A INPUT -j tcin
-A FORWARD -j MARK --set-xmark 0x0/0xff
-A FORWARD -j tcfor
-A OUTPUT -j tcout
-A POSTROUTING -j tcpost
COMMIT
# Completed on Thu Aug 11 10:30:24 2016
# Generated by iptables-save v1.4.21 on Thu Aug 11 10:30:24 2016
*raw
:PREROUTING ACCEPT [16077:2615282]
:OUTPUT ACCEPT [16145:1376354]
-A PREROUTING -p udp -m udp --dport 10080 -j CT --helper amanda
-A PREROUTING -p tcp -m tcp --dport 21 -j CT --helper ftp
-A PREROUTING -p udp -m udp --dport 1719 -j CT --helper RAS
-A PREROUTING -p tcp -m tcp --dport 1720 -j CT --helper Q.931
-A PREROUTING -p tcp -m tcp --dport 6667 -j CT --helper irc
-A PREROUTING -p udp -m udp --dport 137 -j CT --helper netbios-ns
-A PREROUTING -p tcp -m tcp --dport 1723 -j CT --helper pptp
-A PREROUTING -p tcp -m tcp --dport 6566 -j CT --helper sane
-A PREROUTING -p udp -m udp --dport 5060 -j CT --helper sip
-A PREROUTING -p udp -m udp --dport 161 -j CT --helper snmp
-A PREROUTING -p udp -m udp --dport 69 -j CT --helper tftp
-A OUTPUT -p udp -m udp --dport 10080 -j CT --helper amanda
-A OUTPUT -p tcp -m tcp --dport 21 -j CT --helper ftp
-A OUTPUT -p udp -m udp --dport 1719 -j CT --helper RAS
-A OUTPUT -p tcp -m tcp --dport 1720 -j CT --helper Q.931
-A OUTPUT -p tcp -m tcp --dport 6667 -j CT --helper irc
-A OUTPUT -p udp -m udp --dport 137 -j CT --helper netbios-ns
-A OUTPUT -p tcp -m tcp --dport 1723 -j CT --helper pptp
-A OUTPUT -p tcp -m tcp --dport 6566 -j CT --helper sane
-A OUTPUT -p udp -m udp --dport 5060 -j CT --helper sip
-A OUTPUT -p udp -m udp --dport 161 -j CT --helper snmp
-A OUTPUT -p udp -m udp --dport 69 -j CT --helper tftp
COMMIT
# Completed on Thu Aug 11 10:30:24 2016
# Generated by iptables-save v1.4.21 on Thu Aug 11 10:30:24 2016
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:Broadcast - [0:0]
:Drop - [0:0]
:Ifw - [0:0]
:Reject - [0:0]
:dynamic - [0:0]
:enp0s19f2u4c2_fwd - [0:0]
:enp0s19f2u4c2_in - [0:0]
:enp3s0_fwd - [0:0]
:enp3s0_in - [0:0]
:fw-fw - [0:0]
:fw-net - [0:0]
:logdrop - [0:0]
:logflags - [0:0]
:logreject - [0:0]
:net-fw - [0:0]
:net_frwd - [0:0]
:reject - [0:0]
:sfilter - [0:0]
:shorewall - [0:0]
:tcpflags - [0:0]
:wlp4s6_fwd - [0:0]
:wlp4s6_in - [0:0]
-A INPUT -j Ifw
-A INPUT -i enp0s19f2u4c2 -j enp0s19f2u4c2_in
-A INPUT -i enp3s0 -j enp3s0_in
-A INPUT -i wlp4s6 -j wlp4s6_in
-A INPUT -i lo -j ACCEPT
-A INPUT -j Reject
-A INPUT -j LOG --log-prefix "Shorewall:INPUT:REJECT:" --log-level 6
-A INPUT -g reject
-A FORWARD -i enp0s19f2u4c2 -j enp0s19f2u4c2_fwd
-A FORWARD -i enp3s0 -j enp3s0_fwd
-A FORWARD -i wlp4s6 -j wlp4s6_fwd
-A FORWARD -j Reject
-A FORWARD -j LOG --log-prefix "Shorewall:FORWARD:REJECT:" --log-level 6
-A FORWARD -g reject
-A OUTPUT -o enp0s19f2u4c2 -j fw-net
-A OUTPUT -o enp3s0 -j fw-net
-A OUTPUT -o wlp4s6 -j fw-net
-A OUTPUT -o lo -j fw-fw
-A OUTPUT -j Reject
-A OUTPUT -j LOG --log-prefix "Shorewall:OUTPUT:REJECT:" --log-level 6
-A OUTPUT -g reject
-A Broadcast -m addrtype --dst-type BROADCAST -j DROP
-A Broadcast -m addrtype --dst-type MULTICAST -j DROP
-A Broadcast -m addrtype --dst-type ANYCAST -j DROP
-A Drop
-A Drop -j Broadcast
-A Drop -p icmp -m icmp --icmp-type 3/4 -m comment --comment "Needed ICMP types" -j ACCEPT
-A Drop -p icmp -m icmp --icmp-type 11 -m comment --comment "Needed ICMP types" -j ACCEPT
-A Drop -m conntrack --ctstate INVALID -j DROP
-A Drop -p udp -m multiport --dports 135,445 -m comment --comment SMB -j DROP
-A Drop -p udp -m udp --dport 137:139 -m comment --comment SMB -j DROP
-A Drop -p udp -m udp --sport 137 --dport 1024:65535 -m comment --comment SMB -j DROP
-A Drop -p tcp -m multiport --dports 135,139,445 -m comment --comment SMB -j DROP
-A Drop -p udp -m udp --dport 1900 -m comment --comment UPnP -j DROP
-A Drop -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A Drop -p udp -m udp --sport 53 -m comment --comment "Late DNS Replies" -j DROP
-A Ifw -m set --match-set ifw_wl src -j RETURN
-A Ifw -m set --match-set ifw_bl src -j DROP
-A Ifw -m conntrack --ctstate INVALID,NEW -m psd--psd-weight-threshold 10 --psd-delay-threshold 10000 --psd-lo-ports-weight 2 --psd-hi-ports-weight 1 -j IFWLOG--log-prefix "SCAN"
-A Reject
-A Reject -j Broadcast
-A Reject -p icmp -m icmp --icmp-type 3/4 -m comment --comment "Needed ICMP types" -j ACCEPT
-A Reject -p icmp -m icmp --icmp-type 11 -m comment --comment "Needed ICMP types" -j ACCEPT
-A Reject -m conntrack --ctstate INVALID -j DROP
-A Reject -p udp -m multiport --dports 135,445 -m comment --comment SMB -j reject
-A Reject -p udp -m udp --dport 137:139 -m comment --comment SMB -j reject
-A Reject -p udp -m udp --sport 137 --dport 1024:65535 -m comment --comment SMB -j reject
-A Reject -p tcp -m multiport --dports 135,139,445 -m comment --comment SMB -j reject
-A Reject -p udp -m udp --dport 1900 -m comment --comment UPnP -j DROP
-A Reject -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A Reject -p udp -m udp --sport 53 -m comment --comment "Late DNS Replies" -j DROP
-A enp0s19f2u4c2_fwd -o enp0s19f2u4c2 -g sfilter
-A enp0s19f2u4c2_fwd -m conntrack --ctstate INVALID,NEW,UNTRACKED -j dynamic
-A enp0s19f2u4c2_fwd -p tcp -j tcpflags
-A enp0s19f2u4c2_fwd -j net_frwd
-A enp0s19f2u4c2_in -m conntrack --ctstate INVALID,NEW,UNTRACKED -j dynamic
-A enp0s19f2u4c2_in -p tcp -j tcpflags
-A enp0s19f2u4c2_in -j net-fw
-A enp3s0_fwd -o enp3s0 -g sfilter
-A enp3s0_fwd -m conntrack --ctstate INVALID,NEW,UNTRACKED -j dynamic
-A enp3s0_fwd -p tcp -j tcpflags
-A enp3s0_fwd -j net_frwd
-A enp3s0_in -m conntrack --ctstate INVALID,NEW,UNTRACKED -j dynamic
-A enp3s0_in -p tcp -j tcpflags
-A enp3s0_in -j net-fw
-A fw-fw -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A fw-fw -p tcp -m tcp --dport 3128 -m conntrack --ctorigdstport 80 -j ACCEPT
-A fw-fw -j ACCEPT
-A fw-net -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A fw-net -p tcp -m tcp --dport 80 -m owner --uid-owner 972 -j ACCEPT
-A fw-net -j ACCEPT
-A logdrop -j DROP
-A logflags -j LOG --log-prefix "Shorewall:logflags:DROP:" --log-level 6 --log-ip-options
-A logflags -j DROP
-A logreject -j reject
-A net-fw -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A net-fw -j Drop
-A net-fw -j LOG --log-prefix "Shorewall:net-fw:DROP:" --log-level 6
-A net-fw -j DROP
-A net_frwd -o enp0s19f2u4c2 -j ACCEPT
-A net_frwd -o enp3s0 -j ACCEPT
-A net_frwd -o wlp4s6 -j ACCEPT
-A reject -m addrtype --src-type BROADCAST -j DROP
-A reject -s 224.0.0.0/4 -j DROP
-A reject -p igmp -j DROP
-A reject -p tcp -j REJECT --reject-with tcp-reset
-A reject -p udp -j REJECT --reject-with icmp-port-unreachable
-A reject -p icmp -j REJECT --reject-with icmp-host-unreachable
-A reject -j REJECT --reject-with icmp-host-prohibited
-A sfilter -j LOG --log-prefix "Shorewall:sfilter:DROP:" --log-level 6
-A sfilter -j DROP
-A shorewall -m recent --set --name %CURRENTTIME --mask 255.255.255.255 --rsource
-A tcpflags -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -g logflags
-A tcpflags -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -g logflags
-A tcpflags -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -g logflags
-A tcpflags -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -g logflags
-A tcpflags -p tcp -m tcp --sport 0 --tcp-flags FIN,SYN,RST,ACK SYN -g logflags
-A wlp4s6_fwd -o wlp4s6 -g sfilter
-A wlp4s6_fwd -m conntrack --ctstate INVALID,NEW,UNTRACKED -j dynamic
-A wlp4s6_fwd -p tcp -j tcpflags
-A wlp4s6_fwd -j net_frwd
-A wlp4s6_in -m conntrack --ctstate INVALID,NEW,UNTRACKED -j dynamic
-A wlp4s6_in -p tcp -j tcpflags
-A wlp4s6_in -j net-fw
COMMIT
# Completed on Thu Aug 11 10:30:24 2016
Wolfgang
--
Wer weiß, was du morgen schon erreicht hättest,
würdest du es heute versuchen.
> Am 11.08.2016 um 09:42 schrieb Wolfgang Bauer:
>> Servus.
>>
>> OS sind auf dem Desktop-PC Mageia-5, auf dem Netbook Kubuntu.
>> Beide Rechner gehen über einen NAT Router/Modem ins Internet.
>>
>> Auf dem Desktop-PC: Firewall aktiviert mit 104 Regeln.
> Wozu auf dem Desktop eine Firewall wenn du doch einen Router mit NAT hast?
Klar kann ich die abschalten, ein ungutes Gefühl bleibt aber.
>> Servus.
>>
>> OS sind auf dem Desktop-PC Mageia-5, auf dem Netbook Kubuntu.
>> Beide Rechner gehen über einen NAT Router/Modem ins Internet.
>>
>> Auf dem Desktop-PC: Firewall aktiviert mit 104 Regeln.
> Wozu auf dem Desktop eine Firewall wenn du doch einen Router mit NAT hast?
> poste mal iptables-save hier
[root@linux-2 wolfgang]# iptables-save
# Generated by iptables-save v1.4.21 on Thu Aug 11 10:30:24 2016
*nat
:PREROUTING ACCEPT [96:15096]
:INPUT ACCEPT [27:2430]
:OUTPUT ACCEPT [1143:78894]
:POSTROUTING ACCEPT [1643:108894]
:enp3s0_masq - [0:0]
-A OUTPUT -p tcp -m tcp --dport 80 -m owner --uid-owner 972 -j RETURN
-A OUTPUT -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o enp3s0 -j enp3s0_masq
-A enp3s0_masq -s 192.168.1.0/24 -j MASQUERADE
COMMIT
# Completed on Thu Aug 11 10:30:24 2016
# Generated by iptables-save v1.4.21 on Thu Aug 11 10:30:24 2016
*mangle
:PREROUTING ACCEPT [16077:2615282]
:INPUT ACCEPT [16077:2615282]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [16121:1374554]
:POSTROUTING ACCEPT [16307:1391621]
:tcfor - [0:0]
:tcin - [0:0]
:tcout - [0:0]
:tcpost - [0:0]
:tcpre - [0:0]
-A PREROUTING -j tcpre
-A INPUT -j tcin
-A FORWARD -j MARK --set-xmark 0x0/0xff
-A FORWARD -j tcfor
-A OUTPUT -j tcout
-A POSTROUTING -j tcpost
COMMIT
# Completed on Thu Aug 11 10:30:24 2016
# Generated by iptables-save v1.4.21 on Thu Aug 11 10:30:24 2016
*raw
:PREROUTING ACCEPT [16077:2615282]
:OUTPUT ACCEPT [16145:1376354]
-A PREROUTING -p udp -m udp --dport 10080 -j CT --helper amanda
-A PREROUTING -p tcp -m tcp --dport 21 -j CT --helper ftp
-A PREROUTING -p udp -m udp --dport 1719 -j CT --helper RAS
-A PREROUTING -p tcp -m tcp --dport 1720 -j CT --helper Q.931
-A PREROUTING -p tcp -m tcp --dport 6667 -j CT --helper irc
-A PREROUTING -p udp -m udp --dport 137 -j CT --helper netbios-ns
-A PREROUTING -p tcp -m tcp --dport 1723 -j CT --helper pptp
-A PREROUTING -p tcp -m tcp --dport 6566 -j CT --helper sane
-A PREROUTING -p udp -m udp --dport 5060 -j CT --helper sip
-A PREROUTING -p udp -m udp --dport 161 -j CT --helper snmp
-A PREROUTING -p udp -m udp --dport 69 -j CT --helper tftp
-A OUTPUT -p udp -m udp --dport 10080 -j CT --helper amanda
-A OUTPUT -p tcp -m tcp --dport 21 -j CT --helper ftp
-A OUTPUT -p udp -m udp --dport 1719 -j CT --helper RAS
-A OUTPUT -p tcp -m tcp --dport 1720 -j CT --helper Q.931
-A OUTPUT -p tcp -m tcp --dport 6667 -j CT --helper irc
-A OUTPUT -p udp -m udp --dport 137 -j CT --helper netbios-ns
-A OUTPUT -p tcp -m tcp --dport 1723 -j CT --helper pptp
-A OUTPUT -p tcp -m tcp --dport 6566 -j CT --helper sane
-A OUTPUT -p udp -m udp --dport 5060 -j CT --helper sip
-A OUTPUT -p udp -m udp --dport 161 -j CT --helper snmp
-A OUTPUT -p udp -m udp --dport 69 -j CT --helper tftp
COMMIT
# Completed on Thu Aug 11 10:30:24 2016
# Generated by iptables-save v1.4.21 on Thu Aug 11 10:30:24 2016
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:Broadcast - [0:0]
:Drop - [0:0]
:Ifw - [0:0]
:Reject - [0:0]
:dynamic - [0:0]
:enp0s19f2u4c2_fwd - [0:0]
:enp0s19f2u4c2_in - [0:0]
:enp3s0_fwd - [0:0]
:enp3s0_in - [0:0]
:fw-fw - [0:0]
:fw-net - [0:0]
:logdrop - [0:0]
:logflags - [0:0]
:logreject - [0:0]
:net-fw - [0:0]
:net_frwd - [0:0]
:reject - [0:0]
:sfilter - [0:0]
:shorewall - [0:0]
:tcpflags - [0:0]
:wlp4s6_fwd - [0:0]
:wlp4s6_in - [0:0]
-A INPUT -j Ifw
-A INPUT -i enp0s19f2u4c2 -j enp0s19f2u4c2_in
-A INPUT -i enp3s0 -j enp3s0_in
-A INPUT -i wlp4s6 -j wlp4s6_in
-A INPUT -i lo -j ACCEPT
-A INPUT -j Reject
-A INPUT -j LOG --log-prefix "Shorewall:INPUT:REJECT:" --log-level 6
-A INPUT -g reject
-A FORWARD -i enp0s19f2u4c2 -j enp0s19f2u4c2_fwd
-A FORWARD -i enp3s0 -j enp3s0_fwd
-A FORWARD -i wlp4s6 -j wlp4s6_fwd
-A FORWARD -j Reject
-A FORWARD -j LOG --log-prefix "Shorewall:FORWARD:REJECT:" --log-level 6
-A FORWARD -g reject
-A OUTPUT -o enp0s19f2u4c2 -j fw-net
-A OUTPUT -o enp3s0 -j fw-net
-A OUTPUT -o wlp4s6 -j fw-net
-A OUTPUT -o lo -j fw-fw
-A OUTPUT -j Reject
-A OUTPUT -j LOG --log-prefix "Shorewall:OUTPUT:REJECT:" --log-level 6
-A OUTPUT -g reject
-A Broadcast -m addrtype --dst-type BROADCAST -j DROP
-A Broadcast -m addrtype --dst-type MULTICAST -j DROP
-A Broadcast -m addrtype --dst-type ANYCAST -j DROP
-A Drop
-A Drop -j Broadcast
-A Drop -p icmp -m icmp --icmp-type 3/4 -m comment --comment "Needed ICMP types" -j ACCEPT
-A Drop -p icmp -m icmp --icmp-type 11 -m comment --comment "Needed ICMP types" -j ACCEPT
-A Drop -m conntrack --ctstate INVALID -j DROP
-A Drop -p udp -m multiport --dports 135,445 -m comment --comment SMB -j DROP
-A Drop -p udp -m udp --dport 137:139 -m comment --comment SMB -j DROP
-A Drop -p udp -m udp --sport 137 --dport 1024:65535 -m comment --comment SMB -j DROP
-A Drop -p tcp -m multiport --dports 135,139,445 -m comment --comment SMB -j DROP
-A Drop -p udp -m udp --dport 1900 -m comment --comment UPnP -j DROP
-A Drop -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A Drop -p udp -m udp --sport 53 -m comment --comment "Late DNS Replies" -j DROP
-A Ifw -m set --match-set ifw_wl src -j RETURN
-A Ifw -m set --match-set ifw_bl src -j DROP
-A Ifw -m conntrack --ctstate INVALID,NEW -m psd--psd-weight-threshold 10 --psd-delay-threshold 10000 --psd-lo-ports-weight 2 --psd-hi-ports-weight 1 -j IFWLOG--log-prefix "SCAN"
-A Reject
-A Reject -j Broadcast
-A Reject -p icmp -m icmp --icmp-type 3/4 -m comment --comment "Needed ICMP types" -j ACCEPT
-A Reject -p icmp -m icmp --icmp-type 11 -m comment --comment "Needed ICMP types" -j ACCEPT
-A Reject -m conntrack --ctstate INVALID -j DROP
-A Reject -p udp -m multiport --dports 135,445 -m comment --comment SMB -j reject
-A Reject -p udp -m udp --dport 137:139 -m comment --comment SMB -j reject
-A Reject -p udp -m udp --sport 137 --dport 1024:65535 -m comment --comment SMB -j reject
-A Reject -p tcp -m multiport --dports 135,139,445 -m comment --comment SMB -j reject
-A Reject -p udp -m udp --dport 1900 -m comment --comment UPnP -j DROP
-A Reject -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A Reject -p udp -m udp --sport 53 -m comment --comment "Late DNS Replies" -j DROP
-A enp0s19f2u4c2_fwd -o enp0s19f2u4c2 -g sfilter
-A enp0s19f2u4c2_fwd -m conntrack --ctstate INVALID,NEW,UNTRACKED -j dynamic
-A enp0s19f2u4c2_fwd -p tcp -j tcpflags
-A enp0s19f2u4c2_fwd -j net_frwd
-A enp0s19f2u4c2_in -m conntrack --ctstate INVALID,NEW,UNTRACKED -j dynamic
-A enp0s19f2u4c2_in -p tcp -j tcpflags
-A enp0s19f2u4c2_in -j net-fw
-A enp3s0_fwd -o enp3s0 -g sfilter
-A enp3s0_fwd -m conntrack --ctstate INVALID,NEW,UNTRACKED -j dynamic
-A enp3s0_fwd -p tcp -j tcpflags
-A enp3s0_fwd -j net_frwd
-A enp3s0_in -m conntrack --ctstate INVALID,NEW,UNTRACKED -j dynamic
-A enp3s0_in -p tcp -j tcpflags
-A enp3s0_in -j net-fw
-A fw-fw -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A fw-fw -p tcp -m tcp --dport 3128 -m conntrack --ctorigdstport 80 -j ACCEPT
-A fw-fw -j ACCEPT
-A fw-net -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A fw-net -p tcp -m tcp --dport 80 -m owner --uid-owner 972 -j ACCEPT
-A fw-net -j ACCEPT
-A logdrop -j DROP
-A logflags -j LOG --log-prefix "Shorewall:logflags:DROP:" --log-level 6 --log-ip-options
-A logflags -j DROP
-A logreject -j reject
-A net-fw -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A net-fw -j Drop
-A net-fw -j LOG --log-prefix "Shorewall:net-fw:DROP:" --log-level 6
-A net-fw -j DROP
-A net_frwd -o enp0s19f2u4c2 -j ACCEPT
-A net_frwd -o enp3s0 -j ACCEPT
-A net_frwd -o wlp4s6 -j ACCEPT
-A reject -m addrtype --src-type BROADCAST -j DROP
-A reject -s 224.0.0.0/4 -j DROP
-A reject -p igmp -j DROP
-A reject -p tcp -j REJECT --reject-with tcp-reset
-A reject -p udp -j REJECT --reject-with icmp-port-unreachable
-A reject -p icmp -j REJECT --reject-with icmp-host-unreachable
-A reject -j REJECT --reject-with icmp-host-prohibited
-A sfilter -j LOG --log-prefix "Shorewall:sfilter:DROP:" --log-level 6
-A sfilter -j DROP
-A shorewall -m recent --set --name %CURRENTTIME --mask 255.255.255.255 --rsource
-A tcpflags -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -g logflags
-A tcpflags -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -g logflags
-A tcpflags -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -g logflags
-A tcpflags -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -g logflags
-A tcpflags -p tcp -m tcp --sport 0 --tcp-flags FIN,SYN,RST,ACK SYN -g logflags
-A wlp4s6_fwd -o wlp4s6 -g sfilter
-A wlp4s6_fwd -m conntrack --ctstate INVALID,NEW,UNTRACKED -j dynamic
-A wlp4s6_fwd -p tcp -j tcpflags
-A wlp4s6_fwd -j net_frwd
-A wlp4s6_in -m conntrack --ctstate INVALID,NEW,UNTRACKED -j dynamic
-A wlp4s6_in -p tcp -j tcpflags
-A wlp4s6_in -j net-fw
COMMIT
# Completed on Thu Aug 11 10:30:24 2016
Wolfgang
--
Wer weiß, was du morgen schon erreicht hättest,
würdest du es heute versuchen.
Tim Ritberg
Aug 11, 2016, 4:54:09 AM8/11/16
to
Am 11.08.2016 um 10:32 schrieb Wolfgang Bauer:
> Tim Ritberg schrieb:
>> Am 11.08.2016 um 09:42 schrieb Wolfgang Bauer:
>>> Servus.
>>>
>>> OS sind auf dem Desktop-PC Mageia-5, auf dem Netbook Kubuntu.
>>> Beide Rechner gehen über einen NAT Router/Modem ins Internet.
>>>
>>> Auf dem Desktop-PC: Firewall aktiviert mit 104 Regeln.
>
>> Wozu auf dem Desktop eine Firewall wenn du doch einen Router mit NAT hast?
>
> Klar kann ich die abschalten, ein ungutes Gefühl bleibt aber.
Computer haben keine Gefühle.
> Tim Ritberg schrieb:
>> Am 11.08.2016 um 09:42 schrieb Wolfgang Bauer:
>>> Servus.
>>>
>>> OS sind auf dem Desktop-PC Mageia-5, auf dem Netbook Kubuntu.
>>> Beide Rechner gehen über einen NAT Router/Modem ins Internet.
>>>
>>> Auf dem Desktop-PC: Firewall aktiviert mit 104 Regeln.
>
>> Wozu auf dem Desktop eine Firewall wenn du doch einen Router mit NAT hast?
>
> Klar kann ich die abschalten, ein ungutes Gefühl bleibt aber.
>
>> poste mal iptables-save hier
>
> [root@linux-2 wolfgang]# iptables-save
> # Generated by iptables-save v1.4.21 on Thu Aug 11 10:30:24 2016
> *nat
> :PREROUTING ACCEPT [96:15096]
> :INPUT ACCEPT [27:2430]
> :OUTPUT ACCEPT [1143:78894]
> :POSTROUTING ACCEPT [1643:108894]
> :enp3s0_masq - [0:0]
> -A OUTPUT -p tcp -m tcp --dport 80 -m owner --uid-owner 972 -j RETURN
> -A OUTPUT -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
^^^^^^^^^^
> ...
>
> Wolfgang
>
Oh Gott, mach das aus!
Das zieht HTTP auf einen Proxy und macht auch noch NAT.
Kann man machen oder auch lassen. Und dir empfehle ich dir das zu lassen.
Tim
Wolfgang Bauer
Aug 11, 2016, 6:18:07 AM8/11/16
to
> Oh Gott, mach das aus!
> Das zieht HTTP auf einen Proxy und macht auch noch NAT.
> Kann man machen oder auch lassen. Und dir empfehle ich dir das zu lassen.
Mache ich das in der iptables.rules mit #
> Das zieht HTTP auf einen Proxy und macht auch noch NAT.
> Kann man machen oder auch lassen. Und dir empfehle ich dir das zu lassen.
Wolfgang
--
Wenn die Guten nicht kämpfen, werden die Schlechten siegen.
Tim Ritberg
Aug 11, 2016, 7:33:46 AM8/11/16
to
Am 11.08.2016 um 12:18 schrieb Wolfgang Bauer:
>
> Mache ich das in der iptables.rules mit #
>
> Wolfgang
>
Nein, mach das alles aus, die ganze Firewall.
>
> Mache ich das in der iptables.rules mit #
>
> Wolfgang
>
Tim
Wolfgang Bauer
Aug 11, 2016, 7:50:07 AM8/11/16
to
Tim Ritberg schrieb:
aktiver Firewall nicht so und auf der anderen SSD mit frisch
installiertem Mageia 5 ist es auch nicht so.
Es hätte mich interessiert ob ich da etwas verkonfiguriert habe,
ob es durch ein Systemupdate, Kernelupdate, so gekommen ist.
Aber wir müssen das nicht vertiefen. Wenn von außen alle Ports
geschlossen sind, wird wohl auch ohne Firewall keine Gefahr
drohen. Ich bedanke mich.
Wolfgang
--
Früher Vogelsang macht den Winter lang.
> Am 11.08.2016 um 12:18 schrieb Wolfgang Bauer:
>
>>
>> Mache ich das in der iptables.rules mit #
>
>>
>> Mache ich das in der iptables.rules mit #
> Nein, mach das alles aus, die ganze Firewall.
Das habe ich jetzt so gemacht. Nur, das war vor zwei Wochen auch mit
aktiver Firewall nicht so und auf der anderen SSD mit frisch
installiertem Mageia 5 ist es auch nicht so.
Es hätte mich interessiert ob ich da etwas verkonfiguriert habe,
ob es durch ein Systemupdate, Kernelupdate, so gekommen ist.
Aber wir müssen das nicht vertiefen. Wenn von außen alle Ports
geschlossen sind, wird wohl auch ohne Firewall keine Gefahr
drohen. Ich bedanke mich.
Wolfgang
--
Früher Vogelsang macht den Winter lang.
Marc Haber
Aug 11, 2016, 2:14:06 PM8/11/16
to
Wie konntest Du diese Firewall-Regeln schreiben, wenn Du nichtmal
ansatzweise Grundwissen hast?
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
ansatzweise Grundwissen hast?
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Wolfgang Bauer
Aug 11, 2016, 2:29:58 PM8/11/16
to
Marc Haber schrieb:
geschrieben. Und ich hatte auch noch ie einen Grund in der Richtung
Wissen anzueignen.
Aber lassen wir das, ich schalte die Firewall ab.
Wolfgang
--
Das unsympathische an Computern ist,
daß sie nur ja oder nein sagen können,
aber nicht vielleicht.
Brigitte Bardot
> Wolfgang Bauer <bau...@aon.at> wrote:
>> Mache ich das in der iptables.rules mit #
>
> Wie konntest Du diese Firewall-Regeln schreiben, wenn Du nichtmal
> ansatzweise Grundwissen hast?
Ich habe die Regeln nicht geschrieben, die hat das Betriebssystem
>> Mache ich das in der iptables.rules mit #
>
> Wie konntest Du diese Firewall-Regeln schreiben, wenn Du nichtmal
> ansatzweise Grundwissen hast?
geschrieben. Und ich hatte auch noch ie einen Grund in der Richtung
Wissen anzueignen.
Aber lassen wir das, ich schalte die Firewall ab.
Wolfgang
--
Das unsympathische an Computern ist,
daß sie nur ja oder nein sagen können,
aber nicht vielleicht.
Brigitte Bardot
Marc Haber
Aug 11, 2016, 3:55:41 PM8/11/16
to
Wolfgang Bauer <bau...@aon.at> wrote:
>Marc Haber schrieb:
>> Wolfgang Bauer <bau...@aon.at> wrote:
>
>>> Mache ich das in der iptables.rules mit #
>>
>> Wie konntest Du diese Firewall-Regeln schreiben, wenn Du nichtmal
>> ansatzweise Grundwissen hast?
>
>Ich habe die Regeln nicht geschrieben, die hat das Betriebssystem
>geschrieben.
Dann ist das Betriebssystem übelst buggy.
>Marc Haber schrieb:
>> Wolfgang Bauer <bau...@aon.at> wrote:
>
>>> Mache ich das in der iptables.rules mit #
>>
>> Wie konntest Du diese Firewall-Regeln schreiben, wenn Du nichtmal
>> ansatzweise Grundwissen hast?
>
>Ich habe die Regeln nicht geschrieben, die hat das Betriebssystem
>geschrieben.
Andreas Kohlbach
Aug 11, 2016, 5:32:04 PM8/11/16
to
On Thu, 11 Aug 2016 21:55:40 +0200, Marc Haber wrote:
>
> Wolfgang Bauer <bau...@aon.at> wrote:
>>Marc Haber schrieb:
>>>
>
> Wolfgang Bauer <bau...@aon.at> wrote:
>>Marc Haber schrieb:
>>>
>>> Wie konntest Du diese Firewall-Regeln schreiben, wenn Du nichtmal
>>> ansatzweise Grundwissen hast?
>>
>>Ich habe die Regeln nicht geschrieben, die hat das Betriebssystem
>>geschrieben.
>
> Dann ist das Betriebssystem übelst buggy.
Das dürfte dann auf jedes Linux zutreffen, was "One-Click and be happy
>>> ansatzweise Grundwissen hast?
>>
>>Ich habe die Regeln nicht geschrieben, die hat das Betriebssystem
>>geschrieben.
>
> Dann ist das Betriebssystem übelst buggy.
firewall" Regeln erstellt. Und das ist vermutlich jedes, wo man etwas in
der Richtung installieren kann, oder bereits damit kommt.
Ich erinnere mich da z.B. an die "SuSE Firewall", bei der man aus
diversen fertigen Profilen - mehr oder weniger kaputte - iptables Zeilen
erstellen lassen konnte.
Jede im Geschäft zu erstehende Distribution wird auf der Packung sagen,
dass es "mit Firewall" kommt. Auch wenn 99% der ONUs keine brauchen,
verkauft sich ein OS ohne "Firewall" nicht. Auch Linux nicht.
Wolfgang hat das Gefühl wiedergegeben: er hat ein ungutes Gefühl
ohne. Wohl weil über Jahre die Industrie bei Windows OS sagt, man muss
eine Firewall haben. Und man das auf Linux überträgt, was allerdings
Blödsinn ist.
--
Andr (noch nie mit "pauschalem Paketfilter" in Linux unterwegs gewesen) eas
You know you're a redneck if
10. Your junior prom had a daycare.
Marc Haber
Aug 12, 2016, 4:32:30 AM8/12/16
to
Andreas Kohlbach <augmlrsmat2...@spamgourmet.net> wrote:
>On Thu, 11 Aug 2016 21:55:40 +0200, Marc Haber wrote:
>>
>> Wolfgang Bauer <bau...@aon.at> wrote:
>>>Marc Haber schrieb:
>>>>
>>>> Wie konntest Du diese Firewall-Regeln schreiben, wenn Du nichtmal
>>>> ansatzweise Grundwissen hast?
>>>
>>>Ich habe die Regeln nicht geschrieben, die hat das Betriebssystem
>>>geschrieben.
>>
>> Dann ist das Betriebssystem übelst buggy.
>
>Das dürfte dann auf jedes Linux zutreffen, was "One-Click and be happy
>firewall" Regeln erstellt. Und das ist vermutlich jedes, wo man etwas in
>der Richtung installieren kann, oder bereits damit kommt.
Im konkreten Fall wurde ein Regelwerk etabliert, das Zugriffe auf
>On Thu, 11 Aug 2016 21:55:40 +0200, Marc Haber wrote:
>>
>> Wolfgang Bauer <bau...@aon.at> wrote:
>>>Marc Haber schrieb:
>>>>
>>>> Wie konntest Du diese Firewall-Regeln schreiben, wenn Du nichtmal
>>>> ansatzweise Grundwissen hast?
>>>
>>>Ich habe die Regeln nicht geschrieben, die hat das Betriebssystem
>>>geschrieben.
>>
>> Dann ist das Betriebssystem übelst buggy.
>
>Das dürfte dann auf jedes Linux zutreffen, was "One-Click and be happy
>firewall" Regeln erstellt. Und das ist vermutlich jedes, wo man etwas in
>der Richtung installieren kann, oder bereits damit kommt.
TCP/80 auf einen transparenten Proxy umleitet, ohne dabei zu prüfen,
ob es diesen gibt.
Im juristischen würde man sowas einen "ablaufverhindernden Fehler"
nennen.
>Ich erinnere mich da z.B. an die "SuSE Firewall", bei der man aus
>diversen fertigen Profilen - mehr oder weniger kaputte - iptables Zeilen
>erstellen lassen konnte.
Wolfgang Bauer
Aug 12, 2016, 5:52:29 AM8/12/16
to
Andreas Kohlbach schrieb:
> Es gibt Dienste im Internet, die deine Ports scannen. Seiten wie
> <http://nmap.online-domain-tools.com/> müssten das können.
http://www.dnstools.ch/port-scanner.html
Portscan /meine IP/
Alle Ports geschlossen, auch
22 Der "SSH"-Port ist geschlossen.
Wird für den Zugriff mittels Secure Shell verwendet.
80 Der "HTTP"-Port ist geschlossen.
Wird zur Kommunikation mit dem Webserver verwendet.
scanme.nmap.org
22 Der "SSH"-Port ist offen.
Wird für den Zugriff mittels Secure Shell verwendet.
80 Der "HTTP"-Port ist offen.
Wird zur Kommunikation mit dem Webserver verwendet.
> Oder jemandem mit Portscanner (auch mir) bitten,
Ich bitte dich. IP kommt per Mail.
Wolfgang
--
Würde man Menschen mit Katzen kreuzen,
würde dies die Menschen veredeln aber die Katzen herabsetzen.
Mark Twain
> Es gibt Dienste im Internet, die deine Ports scannen. Seiten wie
> <http://nmap.online-domain-tools.com/> müssten das können.
http://www.dnstools.ch/port-scanner.html
Portscan /meine IP/
Alle Ports geschlossen, auch
22 Der "SSH"-Port ist geschlossen.
Wird für den Zugriff mittels Secure Shell verwendet.
80 Der "HTTP"-Port ist geschlossen.
Wird zur Kommunikation mit dem Webserver verwendet.
scanme.nmap.org
22 Der "SSH"-Port ist offen.
Wird für den Zugriff mittels Secure Shell verwendet.
80 Der "HTTP"-Port ist offen.
Wird zur Kommunikation mit dem Webserver verwendet.
> Oder jemandem mit Portscanner (auch mir) bitten,
Ich bitte dich. IP kommt per Mail.
Wolfgang
--
Würde man Menschen mit Katzen kreuzen,
würde dies die Menschen veredeln aber die Katzen herabsetzen.
Mark Twain
Tim Ritberg
Aug 12, 2016, 7:02:02 AM8/12/16
to
Am 11.08.2016 um 23:31 schrieb Andreas Kohlbach:
...
Tim
...
>
> Wolfgang hat das Gefühl wiedergegeben: er hat ein ungutes Gefühl
> ohne. Wohl weil über Jahre die Industrie bei Windows OS sagt, man muss
> eine Firewall haben. Und man das auf Linux überträgt, was allerdings
> Blödsinn ist.
>
Naja, Samba kann man bis heute nicht komplett von einem Interface entbinden.
> Wolfgang hat das Gefühl wiedergegeben: er hat ein ungutes Gefühl
> ohne. Wohl weil über Jahre die Industrie bei Windows OS sagt, man muss
> eine Firewall haben. Und man das auf Linux überträgt, was allerdings
> Blödsinn ist.
>
Tim
Andreas Kohlbach
Aug 12, 2016, 4:00:43 PM8/12/16
to
On Fri, 12 Aug 2016 11:52:26 +0200, Wolfgang Bauer wrote:
>
> Andreas Kohlbach schrieb:
>
>> Es gibt Dienste im Internet, die deine Ports scannen. Seiten wie
>> <http://nmap.online-domain-tools.com/> müssten das können.
>
> http://www.dnstools.ch/port-scanner.html
> Portscan /meine IP/
> Alle Ports geschlossen, auch
>
> 22 Der "SSH"-Port ist geschlossen.
> Wird für den Zugriff mittels Secure Shell verwendet.
> 80 Der "HTTP"-Port ist geschlossen.
> Wird zur Kommunikation mit dem Webserver verwendet.
>
> scanme.nmap.org
>
> 22 Der "SSH"-Port ist offen.
> Wird für den Zugriff mittels Secure Shell verwendet.
> 80 Der "HTTP"-Port ist offen.
> Wird zur Kommunikation mit dem Webserver verwendet.
>
>> Oder jemandem mit Portscanner (auch mir) bitten,
>
> Ich bitte dich. IP kommt per Mail.
Obwohl bei meinem Scan auch Port 22 gefiltert war, den scanme.nmap.org
>
> Andreas Kohlbach schrieb:
>
>> Es gibt Dienste im Internet, die deine Ports scannen. Seiten wie
>> <http://nmap.online-domain-tools.com/> müssten das können.
>
> http://www.dnstools.ch/port-scanner.html
> Portscan /meine IP/
> Alle Ports geschlossen, auch
>
> 22 Der "SSH"-Port ist geschlossen.
> Wird für den Zugriff mittels Secure Shell verwendet.
> 80 Der "HTTP"-Port ist geschlossen.
> Wird zur Kommunikation mit dem Webserver verwendet.
>
> scanme.nmap.org
>
> 22 Der "SSH"-Port ist offen.
> Wird für den Zugriff mittels Secure Shell verwendet.
> 80 Der "HTTP"-Port ist offen.
> Wird zur Kommunikation mit dem Webserver verwendet.
>
>> Oder jemandem mit Portscanner (auch mir) bitten,
>
> Ich bitte dich. IP kommt per Mail.
als offen angibt.
Überhaupt seltsam, dass beide hier bereits unterschiedliche Ergebnisse
liefern.
Port 22 (ssh) stellt aber normal kein Problem dar, außer bei schwachen
Passworten. Wenn du das andere Problem mit dem Zugriff deiner Rechner
untereinander bereits über Samba oder NFS gelöst hast, kannst du den sshd
auch gleich de-installieren.
Port 80 (ein Webserver) auch nicht. Aber wenn du selbst keinen Webserver
haben willst - oder benutzt Debian bzw. Mandriva diesen noch zur Anzeige
der Hilfe-Seiten - würde ich den ebenfalls de-installieren. Ich würde auf
"apache2" als Paket tippen. Sonst vielleicht lighthttpd.
--
Andreas
You know you're a redneck if
34. If you've ever stared at a can of orange juice because it said
concentrate.
Juergen P. Meier
Aug 13, 2016, 1:50:21 AM8/13/16
to
Wolfgang Bauer <bau...@aon.at>:
Helfen kann dir der Hersteller deines Systems.
> Schalte ich hier die Firewall ab werden auch http Seiten geladen.
> Vom Netbook aus gibt es kein Problem.
>
> Weiß jemand den Grund und kann mir helfen?
Grund: Deine Firewall ist falsch eingestellt.
> Vom Netbook aus gibt es kein Problem.
>
> Weiß jemand den Grund und kann mir helfen?
Helfen kann dir der Hersteller deines Systems.
Wolfgang Bauer
Aug 13, 2016, 3:25:49 AM8/13/16
to
Juergen P. Meier schrieb:
Beim Start des Systems werden vom Dienst iptables die itables.rules
eingelesen. Die iptables.rules habe ich versuchsweise gelöscht.
Den Rechner neu gestartet, trotzdem wurden http Seiten nicht angezeigt.
Woher kommen dann die Regeln? Dann habe ich einfach den Dienst iptables
deinstalliert.
OK, ich bin auch ohne Firewall hinter dem NAT Router geschützt.
Wolfgang
--
Katzen wurden in die Welt gesetzt, um das Dogma zu widerlegen,
alle Dinge seien geschaffen, um den Menschen zu dienen.
Paul Gray
> Wolfgang Bauer <bau...@aon.at>:
>> Schalte ich hier die Firewall ab werden auch http Seiten geladen.
>> Vom Netbook aus gibt es kein Problem.
>>
>> Weiß jemand den Grund und kann mir helfen?
>
> Grund: Deine Firewall ist falsch eingestellt.
Nur noch so zur Information.
>> Schalte ich hier die Firewall ab werden auch http Seiten geladen.
>> Vom Netbook aus gibt es kein Problem.
>>
>> Weiß jemand den Grund und kann mir helfen?
>
> Grund: Deine Firewall ist falsch eingestellt.
Beim Start des Systems werden vom Dienst iptables die itables.rules
eingelesen. Die iptables.rules habe ich versuchsweise gelöscht.
Den Rechner neu gestartet, trotzdem wurden http Seiten nicht angezeigt.
Woher kommen dann die Regeln? Dann habe ich einfach den Dienst iptables
deinstalliert.
OK, ich bin auch ohne Firewall hinter dem NAT Router geschützt.
Wolfgang
--
Katzen wurden in die Welt gesetzt, um das Dogma zu widerlegen,
alle Dinge seien geschaffen, um den Menschen zu dienen.
Paul Gray
Marc Haber
Aug 13, 2016, 7:12:03 AM8/13/16
to
Wolfgang Bauer <bau...@aon.at> wrote:
>Beim Start des Systems werden vom Dienst iptables die itables.rules
>eingelesen. Die iptables.rules habe ich versuchsweise gelöscht.
>Den Rechner neu gestartet, trotzdem wurden http Seiten nicht angezeigt.
>Woher kommen dann die Regeln?
Vermutlich war Dein Betriebssystem so eingestellt dass es beim
>Beim Start des Systems werden vom Dienst iptables die itables.rules
>eingelesen. Die iptables.rules habe ich versuchsweise gelöscht.
>Den Rechner neu gestartet, trotzdem wurden http Seiten nicht angezeigt.
>Woher kommen dann die Regeln?
Herunterfahren das Regelwer aus dem Betrieb in diese Datei
hineinschreibt. Sie wurde also beim reboot neu erzeugt.
>Dann habe ich einfach den Dienst iptables
>deinstalliert.
kann man nur dazulernen.
>OK, ich bin auch ohne Firewall hinter dem NAT Router geschützt.
Wolfgang Bauer
Aug 13, 2016, 7:35:45 AM8/13/16
to
>> Dann habe ich einfach den Dienst iptables
>> deinstalliert.
>
> Sinnvoller wäre es gewesen zu verstehen was Dein System da tut. Da
> kann man nur dazulernen.
Was glaubst Du was ich alles angestellt, gesucht habe und Hinweisen
>> deinstalliert.
>
> Sinnvoller wäre es gewesen zu verstehen was Dein System da tut. Da
> kann man nur dazulernen.
nachgegangen bin.
>
>> OK, ich bin auch ohne Firewall hinter dem NAT Router geschützt.
Vor Zugriffen von außen. Möchtest Du meine IP haben um einen
>> OK, ich bin auch ohne Firewall hinter dem NAT Router geschützt.
Angriff zu versuchen?
Wolfgang
--
Wichtig ist, daß man nie aufhört zu fragen...
Albert Einstein
Jens Mielke
Aug 13, 2016, 7:41:32 AM8/13/16
to
Am 13.08.2016 um 09:25 schrieb Wolfgang Bauer:
> OK, ich bin auch ohne Firewall hinter dem NAT Router geschützt.
Vor was willst Du Dich schützen? Bedenke: Solltest Du auch IPv6 haben
> OK, ich bin auch ohne Firewall hinter dem NAT Router geschützt.
hängt Dein IPv6-Interface *nicht* hinter dem NAT-Router. Das bedeutet
das alle Dienste, die an das IPv6-Interface gebunden sind, aus dem
Internet erreichbar sind. Was ergibt denn der Test unter
<http://test-ipv6.com/>?
Gruß, Jens
Marc Haber
Aug 13, 2016, 7:48:41 AM8/13/16
to
>>> OK, ich bin auch ohne Firewall hinter dem NAT Router geschützt.
>
>Vor Zugriffen von außen.
Das macht das NAT "gut genug", ja. Was laufen denn so für Dienste auf
>
>Vor Zugriffen von außen.
deinem Rechner?
> Möchtest Du meine IP haben um einen
>Angriff zu versuchen?
Rechnung schreiben, und rauskommen täte eh nichts, weil
black-box-Tests im Wesentlichen managementkompatible Augenwischerei
sind.
Grüße
Marc
Marc Haber
Aug 13, 2016, 7:49:15 AM8/13/16
to
Jens Mielke <nos...@42-23.org> wrote:
>Am 13.08.2016 um 09:25 schrieb Wolfgang Bauer:
>
>> OK, ich bin auch ohne Firewall hinter dem NAT Router geschützt.
>
>Vor was willst Du Dich schützen? Bedenke: Solltest Du auch IPv6 haben
>hängt Dein IPv6-Interface *nicht* hinter dem NAT-Router. Das bedeutet
>das alle Dienste, die an das IPv6-Interface gebunden sind, aus dem
>Internet erreichbar sind.
Nicht alle Routerhersteller sind mit dem Klammerbeutel gepudert und
>Am 13.08.2016 um 09:25 schrieb Wolfgang Bauer:
>
>> OK, ich bin auch ohne Firewall hinter dem NAT Router geschützt.
>
>Vor was willst Du Dich schützen? Bedenke: Solltest Du auch IPv6 haben
>hängt Dein IPv6-Interface *nicht* hinter dem NAT-Router. Das bedeutet
>das alle Dienste, die an das IPv6-Interface gebunden sind, aus dem
>Internet erreichbar sind.
liefern einen weit offenen IPv6-Router aus.
Zugegebenermaßen: Einige sind es doch.
Wolfgang Bauer
Aug 13, 2016, 8:01:53 AM8/13/16
to
Jens Mielke schrieb:
> Vor was willst Du Dich schützen? Bedenke: Solltest Du auch IPv6 haben
> hängt Dein IPv6-Interface *nicht* hinter dem NAT-Router. Das bedeutet
> das alle Dienste, die an das IPv6-Interface gebunden sind, aus dem
> Internet erreichbar sind. Was ergibt denn der Test unter
> <http://test-ipv6.com/>?
Ich habe die originale ja gesichert.
Test with IPv4 DNS record
ok (0.200s) using ipv4
Test with IPv6 DNS record
bad (0.005s)
Test with Dual Stack DNS record
ok (0.602s) using ipv4
Test for Dual Stack DNS and large packet
ok (0.259s) using ipv4
Test IPv4 without DNS
ok (0.989s) using ipv4
Test IPv6 without DNS
bad (0.014s)
Test IPv6 large packet
bad (0.183s)
Test if your ISP's DNS server uses IPv6
bad (2.086s)
Find IPv4 Service Provider
ok (0.717s) using ipv4 ASN 8447
Find IPv6 Service Provider
bad (0.226s)
Wolfgang
--
Die Frauen verlangen Unmögliches:
Man soll ihr Alter vergessen,
aber sich immer an ihren Geburtstag erinnern.
> Vor was willst Du Dich schützen? Bedenke: Solltest Du auch IPv6 haben
> hängt Dein IPv6-Interface *nicht* hinter dem NAT-Router. Das bedeutet
> das alle Dienste, die an das IPv6-Interface gebunden sind, aus dem
> Internet erreichbar sind. Was ergibt denn der Test unter
> <http://test-ipv6.com/>?
Test with IPv4 DNS record
ok (0.200s) using ipv4
Test with IPv6 DNS record
bad (0.005s)
Test with Dual Stack DNS record
ok (0.602s) using ipv4
Test for Dual Stack DNS and large packet
ok (0.259s) using ipv4
Test IPv4 without DNS
ok (0.989s) using ipv4
Test IPv6 without DNS
bad (0.014s)
Test IPv6 large packet
bad (0.183s)
Test if your ISP's DNS server uses IPv6
bad (2.086s)
Find IPv4 Service Provider
ok (0.717s) using ipv4 ASN 8447
Find IPv6 Service Provider
bad (0.226s)
Wolfgang
--
Die Frauen verlangen Unmögliches:
Man soll ihr Alter vergessen,
aber sich immer an ihren Geburtstag erinnern.
Jens Mielke
Aug 13, 2016, 8:02:30 AM8/13/16
to
Am 13.08.2016 um 13:49 schrieb Marc Haber:
auch Sinn und Zweck von IPv6 ist.
Gruß, Jens
> Jens Mielke <nos...@42-23.org> wrote:
>>Vor was willst Du Dich schützen? Bedenke: Solltest Du auch IPv6 haben
>>hängt Dein IPv6-Interface *nicht* hinter dem NAT-Router. Das bedeutet
>>das alle Dienste, die an das IPv6-Interface gebunden sind, aus dem
>>Internet erreichbar sind.
> Nicht alle Routerhersteller sind mit dem Klammerbeutel gepudert und
> liefern einen weit offenen IPv6-Router aus.
> Zugegebenermaßen: Einige sind es doch.
Mein Magenta Router lässt IPv6 unangetastet durch, was ja eigentlich
>>Vor was willst Du Dich schützen? Bedenke: Solltest Du auch IPv6 haben
>>hängt Dein IPv6-Interface *nicht* hinter dem NAT-Router. Das bedeutet
>>das alle Dienste, die an das IPv6-Interface gebunden sind, aus dem
>>Internet erreichbar sind.
> Nicht alle Routerhersteller sind mit dem Klammerbeutel gepudert und
> liefern einen weit offenen IPv6-Router aus.
> Zugegebenermaßen: Einige sind es doch.
auch Sinn und Zweck von IPv6 ist.
Gruß, Jens
Jens Mielke
Aug 13, 2016, 8:07:17 AM8/13/16
to
Am 13.08.2016 um 14:01 schrieb Wolfgang Bauer:
> Test with IPv4 DNS record
> ok (0.200s) using ipv4
> Test with IPv6 DNS record
> bad (0.005s)
> Test with Dual Stack DNS record
> ok (0.602s) using ipv4
> Test for Dual Stack DNS and large packet
> ok (0.259s) using ipv4
> Test IPv4 without DNS
> ok (0.989s) using ipv4
> Test IPv6 without DNS
> bad (0.014s)
> Test IPv6 large packet
> bad (0.183s)
> Test if your ISP's DNS server uses IPv6
> bad (2.086s)
> Find IPv4 Service Provider
> ok (0.717s) using ipv4 ASN 8447
> Find IPv6 Service Provider
> bad (0.226s)
Offenbar hast Du kein IPv6 an Deinem Anschluss. Ob das für Dich gut oder
> Test with IPv4 DNS record
> ok (0.200s) using ipv4
> Test with IPv6 DNS record
> bad (0.005s)
> Test with Dual Stack DNS record
> ok (0.602s) using ipv4
> Test for Dual Stack DNS and large packet
> ok (0.259s) using ipv4
> Test IPv4 without DNS
> ok (0.989s) using ipv4
> Test IPv6 without DNS
> bad (0.014s)
> Test IPv6 large packet
> bad (0.183s)
> Test if your ISP's DNS server uses IPv6
> bad (2.086s)
> Find IPv4 Service Provider
> ok (0.717s) using ipv4 ASN 8447
> Find IPv6 Service Provider
> bad (0.226s)
schlecht ist, musst Du selbst entscheiden.
Gruß, Jens
Marc Haber
Aug 13, 2016, 8:48:13 AM8/13/16
to
die im Normalzustand keinen Verbindungsaufbau von außen nach innen
zulässt. Alles andere ist für die seit 20 Jahren die "absicherung"
durch NAT gewöhnten Kunden ein offenes Messer, bereit zum mit Anlauf
reinrennen.
Selbstverständlich muss es die Möglichkeit geben, diesen Filter für
einzelne Hosts und/ode Dienste oder auch ganz abzuschalten.
Praktischerweise macht man das im UI so, wie der Benutzer es für
IPv4-ortforwardings gewöhnt ist. Der Unterschied ist halt, dass kein
NAT mehr stattfindet und man es hier halt mit einem reinrassigen
Paketfilter zu tun hat.
Jens Mielke
Aug 13, 2016, 9:25:28 AM8/13/16
to
Am 13.08.2016 um 14:48 schrieb Marc Haber:
> Jens Mielke <nos...@42-23.org> wrote:
>>Mein Magenta Router lässt IPv6 unangetastet durch, was ja eigentlich
>>auch Sinn und Zweck von IPv6 ist.
> Trotzdem würde ich einen Router mit einem IPv6-Paketfilter ausliefern,
> die im Normalzustand keinen Verbindungsaufbau von außen nach innen
> zulässt. Alles andere ist für die seit 20 Jahren die "absicherung"
> durch NAT gewöhnten Kunden ein offenes Messer, bereit zum mit Anlauf
> reinrennen.
So gesehen hast Du latürnich recht. Die Routerhersteller verlagern das
> Jens Mielke <nos...@42-23.org> wrote:
>>Mein Magenta Router lässt IPv6 unangetastet durch, was ja eigentlich
>>auch Sinn und Zweck von IPv6 ist.
> Trotzdem würde ich einen Router mit einem IPv6-Paketfilter ausliefern,
> die im Normalzustand keinen Verbindungsaufbau von außen nach innen
> zulässt. Alles andere ist für die seit 20 Jahren die "absicherung"
> durch NAT gewöhnten Kunden ein offenes Messer, bereit zum mit Anlauf
> reinrennen.
Problem jetzt auf den User bzw. auf den/die Hosts. (Der Host wird schon
eine "Firewall" besitzen).
> Selbstverständlich muss es die Möglichkeit geben, diesen Filter für
> einzelne Hosts und/ode Dienste oder auch ganz abzuschalten.
> Praktischerweise macht man das im UI so, wie der Benutzer es für
> IPv4-ortforwardings gewöhnt ist. Der Unterschied ist halt, dass kein
> NAT mehr stattfindet und man es hier halt mit einem reinrassigen
> Paketfilter zu tun hat.
Hier steht z.B. eine kleine ASA die meinen Traffic filtert. Die tut ganz
gut.
Gruß, Jens
Juergen Ilse
Aug 13, 2016, 10:36:15 AM8/13/16
to
Hallo,
Jens Mielke <nos...@42-23.org> wrote:
> Am 13.08.2016 um 14:48 schrieb Marc Haber:
>> Trotzdem würde ich einen Router mit einem IPv6-Paketfilter ausliefern,
>> die im Normalzustand keinen Verbindungsaufbau von außen nach innen
>> zulässt. Alles andere ist für die seit 20 Jahren die "absicherung"
>> durch NAT gewöhnten Kunden ein offenes Messer, bereit zum mit Anlauf
>> reinrennen.
> So gesehen hast Du latürnich recht. Die Routerhersteller verlagern das
> Problem jetzt auf den User bzw. auf den/die Hosts. (Der Host wird schon
> eine "Firewall" besitzen).
Welche IPv6-faehigen Consumerrouter haben denn keinen IPv6 Paketfilter
inklusive?
>> Selbstverständlich muss es die Möglichkeit geben, diesen Filter für
>> einzelne Hosts und/ode Dienste oder auch ganz abzuschalten.
>> Praktischerweise macht man das im UI so, wie der Benutzer es für
>> IPv4-ortforwardings gewöhnt ist. Der Unterschied ist halt, dass kein
>> NAT mehr stattfindet und man es hier halt mit einem reinrassigen
>> Paketfilter zu tun hat.
> So etwas gibt es durchaus, IIRC allerdings nicht im Consumer Bereich.
Enthalten die Fritzboxen mit aktueller Firmware nicht so etwas?
Und ja, die wuerde ich dem Consumerbereich zuordnen.
> Hier steht z.B. eine kleine ASA die meinen Traffic filtert. Die tut ganz
> gut.
Ja, Cisco ASA mit 9.x Firmware ist ganz nett.
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.
Jens Mielke <nos...@42-23.org> wrote:
> Am 13.08.2016 um 14:48 schrieb Marc Haber:
>> Trotzdem würde ich einen Router mit einem IPv6-Paketfilter ausliefern,
>> die im Normalzustand keinen Verbindungsaufbau von außen nach innen
>> zulässt. Alles andere ist für die seit 20 Jahren die "absicherung"
>> durch NAT gewöhnten Kunden ein offenes Messer, bereit zum mit Anlauf
>> reinrennen.
> So gesehen hast Du latürnich recht. Die Routerhersteller verlagern das
> Problem jetzt auf den User bzw. auf den/die Hosts. (Der Host wird schon
> eine "Firewall" besitzen).
inklusive?
>> Selbstverständlich muss es die Möglichkeit geben, diesen Filter für
>> einzelne Hosts und/ode Dienste oder auch ganz abzuschalten.
>> Praktischerweise macht man das im UI so, wie der Benutzer es für
>> IPv4-ortforwardings gewöhnt ist. Der Unterschied ist halt, dass kein
>> NAT mehr stattfindet und man es hier halt mit einem reinrassigen
>> Paketfilter zu tun hat.
> So etwas gibt es durchaus, IIRC allerdings nicht im Consumer Bereich.
Und ja, die wuerde ich dem Consumerbereich zuordnen.
> Hier steht z.B. eine kleine ASA die meinen Traffic filtert. Die tut ganz
> gut.
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.
Jens Mielke
Aug 13, 2016, 11:20:08 AM8/13/16
to
Am 13.08.2016 um 16:36 schrieb Juergen Ilse:
> Jens Mielke <nos...@42-23.org> wrote:
>> So gesehen hast Du latürnich recht. Die Routerhersteller verlagern das
>> Problem jetzt auf den User bzw. auf den/die Hosts. (Der Host wird schon
>> eine "Firewall" besitzen).
> Welche IPv6-faehigen Consumerrouter haben denn keinen IPv6 Paketfilter
> inklusive?
Der Speedport 723 V der Telekom z.B.
>>> Selbstverständlich muss es die Möglichkeit geben, diesen Filter für
>>> einzelne Hosts und/ode Dienste oder auch ganz abzuschalten.
>>> Praktischerweise macht man das im UI so, wie der Benutzer es für
>>> IPv4-ortforwardings gewöhnt ist. Der Unterschied ist halt, dass kein
>>> NAT mehr stattfindet und man es hier halt mit einem reinrassigen
>>> Paketfilter zu tun hat.
>> So etwas gibt es durchaus, IIRC allerdings nicht im Consumer Bereich.
> Enthalten die Fritzboxen mit aktueller Firmware nicht so etwas?
> Und ja, die wuerde ich dem Consumerbereich zuordnen.
Mmh. Ich hätte darauf gewettet, dass die Paketfilter der Fritzboxen nur
IPv4 können. Kann mich aber auch irren. Eine schnelle Googlesuche war
jedenfalls nicht sehr ergiebig.
Gruß, Jens
> Jens Mielke <nos...@42-23.org> wrote:
>> So gesehen hast Du latürnich recht. Die Routerhersteller verlagern das
>> Problem jetzt auf den User bzw. auf den/die Hosts. (Der Host wird schon
>> eine "Firewall" besitzen).
> Welche IPv6-faehigen Consumerrouter haben denn keinen IPv6 Paketfilter
> inklusive?
>>> Selbstverständlich muss es die Möglichkeit geben, diesen Filter für
>>> einzelne Hosts und/ode Dienste oder auch ganz abzuschalten.
>>> Praktischerweise macht man das im UI so, wie der Benutzer es für
>>> IPv4-ortforwardings gewöhnt ist. Der Unterschied ist halt, dass kein
>>> NAT mehr stattfindet und man es hier halt mit einem reinrassigen
>>> Paketfilter zu tun hat.
>> So etwas gibt es durchaus, IIRC allerdings nicht im Consumer Bereich.
> Enthalten die Fritzboxen mit aktueller Firmware nicht so etwas?
> Und ja, die wuerde ich dem Consumerbereich zuordnen.
IPv4 können. Kann mich aber auch irren. Eine schnelle Googlesuche war
jedenfalls nicht sehr ergiebig.
Gruß, Jens
Marc Haber
Aug 13, 2016, 11:38:40 AM8/13/16
to
Jens Mielke <nos...@42-23.org> wrote:
>Am 13.08.2016 um 14:48 schrieb Marc Haber:
>
>> Jens Mielke <nos...@42-23.org> wrote:
>
>>>Mein Magenta Router lässt IPv6 unangetastet durch, was ja eigentlich
>>>auch Sinn und Zweck von IPv6 ist.
>
>> Trotzdem würde ich einen Router mit einem IPv6-Paketfilter ausliefern,
>> die im Normalzustand keinen Verbindungsaufbau von außen nach innen
>> zulässt. Alles andere ist für die seit 20 Jahren die "absicherung"
>> durch NAT gewöhnten Kunden ein offenes Messer, bereit zum mit Anlauf
>> reinrennen.
>
>So gesehen hast Du latürnich recht. Die Routerhersteller verlagern das
>Problem jetzt auf den User bzw. auf den/die Hosts. (Der Host wird schon
>eine "Firewall" besitzen).
Ich habe keinen zweifel dass gerade Hersteller der unteren Preisklasse
>Am 13.08.2016 um 14:48 schrieb Marc Haber:
>
>> Jens Mielke <nos...@42-23.org> wrote:
>
>>>Mein Magenta Router lässt IPv6 unangetastet durch, was ja eigentlich
>>>auch Sinn und Zweck von IPv6 ist.
>
>> Trotzdem würde ich einen Router mit einem IPv6-Paketfilter ausliefern,
>> die im Normalzustand keinen Verbindungsaufbau von außen nach innen
>> zulässt. Alles andere ist für die seit 20 Jahren die "absicherung"
>> durch NAT gewöhnten Kunden ein offenes Messer, bereit zum mit Anlauf
>> reinrennen.
>
>So gesehen hast Du latürnich recht. Die Routerhersteller verlagern das
>Problem jetzt auf den User bzw. auf den/die Hosts. (Der Host wird schon
>eine "Firewall" besitzen).
das so handhaben werden. Andererseits werden diese auch noch Jahre
brauchen, bis sie so komplexe Dinge wie Prefix Delegation, Neighbor
Discovery und DHCPv6 auf die Reihe gebracht haben.
>> Selbstverständlich muss es die Möglichkeit geben, diesen Filter für
>> einzelne Hosts und/ode Dienste oder auch ganz abzuschalten.
>> Praktischerweise macht man das im UI so, wie der Benutzer es für
>> IPv4-ortforwardings gewöhnt ist. Der Unterschied ist halt, dass kein
>> NAT mehr stattfindet und man es hier halt mit einem reinrassigen
>> Paketfilter zu tun hat.
>
>So etwas gibt es durchaus, IIRC allerdings nicht im Consumer Bereich.
>Hier steht z.B. eine kleine ASA die meinen Traffic filtert. Die tut ganz
>gut.
richtig.
Juergen Ilse
Aug 13, 2016, 12:05:39 PM8/13/16
to
> Am 13.08.2016 um 16:36 schrieb Juergen Ilse:
>> Jens Mielke <nos...@42-23.org> wrote:
>>> So gesehen hast Du latürnich recht. Die Routerhersteller verlagern das
>>> Problem jetzt auf den User bzw. auf den/die Hosts. (Der Host wird schon
>>> eine "Firewall" besitzen).
>> Welche IPv6-faehigen Consumerrouter haben denn keinen IPv6 Paketfilter
>> inklusive?
> Der Speedport 723 V der Telekom z.B.
Den 723V kenne ich nicht, aber der 724V hat per default aktivierte IPv6
>> Jens Mielke <nos...@42-23.org> wrote:
>>> So gesehen hast Du latürnich recht. Die Routerhersteller verlagern das
>>> Problem jetzt auf den User bzw. auf den/die Hosts. (Der Host wird schon
>>> eine "Firewall" besitzen).
>> Welche IPv6-faehigen Consumerrouter haben denn keinen IPv6 Paketfilter
>> inklusive?
> Der Speedport 723 V der Telekom z.B.
Paketfilter (der sich noch nicht einmal vollstaendig deaktivieren laesst,
*leider* nicht ...).
>>> So etwas gibt es durchaus, IIRC allerdings nicht im Consumer Bereich.
>> Enthalten die Fritzboxen mit aktueller Firmware nicht so etwas?
>> Und ja, die wuerde ich dem Consumerbereich zuordnen.
> Mmh. Ich hätte darauf gewettet, dass die Paketfilter der Fritzboxen nur
> IPv4 können. Kann mich aber auch irren. Eine schnelle Googlesuche war
> jedenfalls nicht sehr ergiebig.
Scheint zu exisieren, aber anscheinend kann man die Firewall wohl nicht
generell fuer alle IPv6 addressen abschalten ... Moeglicherweise ist
die alternative Firmware Freetz da ergiebiger ...
Marc Haber
Aug 13, 2016, 12:20:21 PM8/13/16
to
Jens Mielke <nos...@42-23.org> wrote:
>Am 13.08.2016 um 16:36 schrieb Juergen Ilse:
>> Jens Mielke <nos...@42-23.org> wrote:
>
>>> So gesehen hast Du latürnich recht. Die Routerhersteller verlagern das
>>> Problem jetzt auf den User bzw. auf den/die Hosts. (Der Host wird schon
>>> eine "Firewall" besitzen).
>
>> Welche IPv6-faehigen Consumerrouter haben denn keinen IPv6 Paketfilter
>> inklusive?
>
>Der Speedport 723 V der Telekom z.B.
Dieses Telekomzeugs ist sowieso nicht ernstzunehmen. Da würde ich jede
>Am 13.08.2016 um 16:36 schrieb Juergen Ilse:
>> Jens Mielke <nos...@42-23.org> wrote:
>
>>> So gesehen hast Du latürnich recht. Die Routerhersteller verlagern das
>>> Problem jetzt auf den User bzw. auf den/die Hosts. (Der Host wird schon
>>> eine "Firewall" besitzen).
>
>> Welche IPv6-faehigen Consumerrouter haben denn keinen IPv6 Paketfilter
>> inklusive?
>
>Der Speedport 723 V der Telekom z.B.
taiwanesische Garage vorziehen, deren Produkte sind wenigstens aus
versehen kaputt und nicht absichtlich.
Richard Lechner
Aug 14, 2016, 5:23:50 AM8/14/16
to
Am Fri, 12 Aug 2016 16:00:08 -0400 schrieb Andreas Kohlbach:
> Überhaupt seltsam, dass beide hier bereits unterschiedliche Ergebnisse
> liefern.
>
> Port 22 (ssh) stellt aber normal kein Problem dar, außer bei schwachen
> Passworten. Wenn du das andere Problem mit dem Zugriff deiner Rechner
> untereinander bereits über Samba oder NFS gelöst hast, kannst du den
> sshd auch gleich de-installieren.
>
> Port 80 (ein Webserver) auch nicht. Aber wenn du selbst keinen Webserver
> haben willst - oder benutzt Debian bzw. Mandriva diesen noch zur Anzeige
> der Hilfe-Seiten - würde ich den ebenfalls de-installieren. Ich würde
> auf "apache2" als Paket tippen. Sonst vielleicht lighthttpd.
Ich würde eher auf den Router tippen. Der wird Web und evtl. SSH haben
> Überhaupt seltsam, dass beide hier bereits unterschiedliche Ergebnisse
> liefern.
>
> Port 22 (ssh) stellt aber normal kein Problem dar, außer bei schwachen
> Passworten. Wenn du das andere Problem mit dem Zugriff deiner Rechner
> untereinander bereits über Samba oder NFS gelöst hast, kannst du den
> sshd auch gleich de-installieren.
>
> Port 80 (ein Webserver) auch nicht. Aber wenn du selbst keinen Webserver
> haben willst - oder benutzt Debian bzw. Mandriva diesen noch zur Anzeige
> der Hilfe-Seiten - würde ich den ebenfalls de-installieren. Ich würde
> auf "apache2" als Paket tippen. Sonst vielleicht lighthttpd.
und vielleicht "sieht" das der eine Scanner.
Wolfgang Bauer
Aug 14, 2016, 5:35:36 AM8/14/16
to
Richard Lechner schrieb:
Ich denke das kann man ausschließen.
Vom Netbook mit Kubuntu aus über den gleichen Router komme
ich auf http Seiten.
Wolfgang
--
Wenn deine Taten andere dazu anregen,
mehr zu träumen, mehr zu lernen und mehr aus sich zu machen,
dann bist du ein Führer.
John Adams
Vom Netbook mit Kubuntu aus über den gleichen Router komme
ich auf http Seiten.
Wolfgang
--
Wenn deine Taten andere dazu anregen,
mehr zu träumen, mehr zu lernen und mehr aus sich zu machen,
dann bist du ein Führer.
John Adams
Jens Mielke
Aug 14, 2016, 7:47:32 AM8/14/16
to
Am 13.08.2016 um 18:20 schrieb Marc Haber:
> Jens Mielke <nos...@42-23.org> wrote:
>>Am 13.08.2016 um 16:36 schrieb Juergen Ilse:
>>> Welche IPv6-faehigen Consumerrouter haben denn keinen IPv6 Paketfilter
>>> inklusive?
>>Der Speedport 723 V der Telekom z.B.
> Dieses Telekomzeugs ist sowieso nicht ernstzunehmen. Da würde ich jede
> taiwanesische Garage vorziehen, deren Produkte sind wenigstens aus
> versehen kaputt und nicht absichtlich.
Haja. Er sorgt für die Telefonie und dafür das mir ein /64 zugewiesen
> Jens Mielke <nos...@42-23.org> wrote:
>>Am 13.08.2016 um 16:36 schrieb Juergen Ilse:
>>> Welche IPv6-faehigen Consumerrouter haben denn keinen IPv6 Paketfilter
>>> inklusive?
>>Der Speedport 723 V der Telekom z.B.
> Dieses Telekomzeugs ist sowieso nicht ernstzunehmen. Da würde ich jede
> taiwanesische Garage vorziehen, deren Produkte sind wenigstens aus
> versehen kaputt und nicht absichtlich.
wird. Weitere Ansprüche habe ich an einen Provider-Router nicht.
Gruß, Jens
Jens Mielke
Aug 14, 2016, 7:47:32 AM8/14/16
to
Am 13.08.2016 um 17:38 schrieb Marc Haber:
> Jens Mielke <nos...@42-23.org> wrote:
>>So etwas gibt es durchaus, IIRC allerdings nicht im Consumer Bereich.
>>Hier steht z.B. eine kleine ASA die meinen Traffic filtert. Die tut ganz
>>gut.
> Man kann auch einfach eine Fritzbox nehmen, die macht das nämlich auch
> richtig.
Wie ich schon an Jürgen geschrieben habe, hätte ich darauf gewettet,
> Jens Mielke <nos...@42-23.org> wrote:
>>So etwas gibt es durchaus, IIRC allerdings nicht im Consumer Bereich.
>>Hier steht z.B. eine kleine ASA die meinen Traffic filtert. Die tut ganz
>>gut.
> Man kann auch einfach eine Fritzbox nehmen, die macht das nämlich auch
> richtig.
dass die Fritzboxen nur einen IPv4 Paketfilter haben. Wieder was gelernt
und gut zu wissen.
Gruß, Jens
Jens Mielke
Aug 14, 2016, 7:47:32 AM8/14/16
to
Am 13.08.2016 um 18:05 schrieb Juergen Ilse:
> Jens Mielke <nos...@42-23.org> wrote:
>> Am 13.08.2016 um 16:36 schrieb Juergen Ilse:
>>> Welche IPv6-faehigen Consumerrouter haben denn keinen IPv6 Paketfilter
>>> inklusive?
>> Der Speedport 723 V der Telekom z.B.
> Den 723V kenne ich nicht, aber der 724V hat per default aktivierte IPv6
> Paketfilter (der sich noch nicht einmal vollstaendig deaktivieren laesst,
> *leider* nicht ...).
Der IPv4 Paketfilter im Speedport 723 V lässt sich auch nicht
> Jens Mielke <nos...@42-23.org> wrote:
>> Am 13.08.2016 um 16:36 schrieb Juergen Ilse:
>>> Welche IPv6-faehigen Consumerrouter haben denn keinen IPv6 Paketfilter
>>> inklusive?
>> Der Speedport 723 V der Telekom z.B.
> Den 723V kenne ich nicht, aber der 724V hat per default aktivierte IPv6
> Paketfilter (der sich noch nicht einmal vollstaendig deaktivieren laesst,
> *leider* nicht ...).
deaktivieren. Zu allem Überfluss müllt er auch noch das Log zu, mit
angeblichen DoS-Angriffen (UDP-Loop).
Gruß, Jens
David Seppi
Aug 16, 2016, 5:07:46 AM8/16/16
to
Andreas Kohlbach schrieb:
> Gibt es in Deutschland bei Privatkunden eigentlich die "Zwangstrennung"
> noch, an die ich mich bei der Telekom vor über 15 Jahren erinnere? Und
> wie ist das in Österreich?
In Österreich gibt es v.a. in den Großstädten viele Kunden mit
Kabelanschluß. Zumindest UPC hat lange quasi fixe IPv4-Adressen vergeben
(dynamische Zuteilung, die aber immer dieselbe Adresse brachte).
Derzeit wird in einem länger dauernden Umstellungsprozeß auf natives
IPv6 mit DS lite für IPv4 umgstellt. Da teilt man sich die IPv4-Adresse
sowieso mit anderen. Das IPv6-Subnet hat man zwar alleine, es wechselt
aber in unregelmäßigen Abständen. (Ein-/Ausschalten des Routers bringt
nicht unbedingt ein neues Subnet.)
Zwangstrennungen gibt es bei Kabel sowieso keine.
Ob die österreichische Telekom noch welche macht müßte ich bei
Gelegenheit testen.
--
David Seppi
1220 Wien
> Gibt es in Deutschland bei Privatkunden eigentlich die "Zwangstrennung"
> noch, an die ich mich bei der Telekom vor über 15 Jahren erinnere? Und
> wie ist das in Österreich?
In Österreich gibt es v.a. in den Großstädten viele Kunden mit
Kabelanschluß. Zumindest UPC hat lange quasi fixe IPv4-Adressen vergeben
(dynamische Zuteilung, die aber immer dieselbe Adresse brachte).
Derzeit wird in einem länger dauernden Umstellungsprozeß auf natives
IPv6 mit DS lite für IPv4 umgstellt. Da teilt man sich die IPv4-Adresse
sowieso mit anderen. Das IPv6-Subnet hat man zwar alleine, es wechselt
aber in unregelmäßigen Abständen. (Ein-/Ausschalten des Routers bringt
nicht unbedingt ein neues Subnet.)
Zwangstrennungen gibt es bei Kabel sowieso keine.
Ob die österreichische Telekom noch welche macht müßte ich bei
Gelegenheit testen.
--
David Seppi
1220 Wien
Juergen Ilse
Aug 16, 2016, 5:14:13 AM8/16/16
to
Hallo,
David Seppi <dse...@a1.net> wrote:
> Andreas Kohlbach schrieb:
>> Gibt es in Deutschland bei Privatkunden eigentlich die "Zwangstrennung"
>> noch, an die ich mich bei der Telekom vor über 15 Jahren erinnere? Und
>> wie ist das in Österreich?
Die Zwangstrennung hatte vor allem "Accounting-Gruende": es musste sicher-
gestellt sein, dass man mindestens einmal in 24 Stunden einen Accouting-
Record wie er beim Abbau der Verbindung geschrieben wird im Radius Log
hatte (fuer die Kunden, die ggfs. noch nach Online-Zeit oder Volumen ab-
gerechnet wurden).
David Seppi <dse...@a1.net> wrote:
> Andreas Kohlbach schrieb:
>> Gibt es in Deutschland bei Privatkunden eigentlich die "Zwangstrennung"
>> noch, an die ich mich bei der Telekom vor über 15 Jahren erinnere? Und
>> wie ist das in Österreich?
gestellt sein, dass man mindestens einmal in 24 Stunden einen Accouting-
Record wie er beim Abbau der Verbindung geschrieben wird im Radius Log
hatte (fuer die Kunden, die ggfs. noch nach Online-Zeit oder Volumen ab-
gerechnet wurden).
Ralph Aichinger
Aug 16, 2016, 5:17:18 AM8/16/16
to
David Seppi <dse...@a1.net> wrote:
> Zwangstrennungen gibt es bei Kabel sowieso keine.
> Ob die österreichische Telekom noch welche macht müßte ich bei
> Gelegenheit testen.
Ich bin bei einem A1-Reseller (also ex-Telekom Austria ex Post, die
> Zwangstrennungen gibt es bei Kabel sowieso keine.
> Ob die österreichische Telekom noch welche macht müßte ich bei
> Gelegenheit testen.
müssen ja alle 5-10 Jahre anders heißen) und habe sie nicht (oder
nicht feststellbar). Gelegentlich (alle paar Monate mal) habe
ich das Phänomen daß mitten in der Nacht die PPPoE-Verbindung
getrennt wird und für ein paar Minuten nicht mehr aufgebaut werden
kann. Ich würde das aber als Wartungsarbeiten und nicht als Zwangs-
trennung sehen. Entsprechendes habe ich auch gelegentlich bei
Businesskunden gesehen.
/ralph -- was mir wirklich abgeht ist IPv6 am Handy. Gibt es in
.at schon einen Handyanbieter der IPv6 nativ macht?
David Seppi
Aug 16, 2016, 1:06:58 PM8/16/16
to
Ralph Aichinger schrieb:
> /ralph -- was mir wirklich abgeht ist IPv6 am Handy.
Ja, mir auch. IPv6 von UPC ist ja ganz praktisch, weil man dann ohne
viel port forwarding zu allen Geräten daheim kommt. Theoretisch.
Leider geht das nur dann, wenn der Client (das Handy) auch IPv6 hat.
> /ralph -- was mir wirklich abgeht ist IPv6 am Handy.
viel port forwarding zu allen Geräten daheim kommt. Theoretisch.
Leider geht das nur dann, wenn der Client (das Handy) auch IPv6 hat.
Daniel Krebs
Aug 31, 2016, 9:17:42 AM8/31/16
to
Daniel
--
"<<Dämpfe sind nicht die Zukunft>>, erklärte Viridian.
<<Tote Dinosaurier, und was sie gefressen haben, zu verbrennen
ist nicht die Lösung, Kurbelwellen-Bürschchen.>>"
Thomas Pynchon
Juergen Ilse
Aug 31, 2016, 4:45:48 PM8/31/16
to
Daniel Krebs <spam.a...@t-online.de> wrote:
waere ein IPv6 faehiger Router fuer den SOHO-Markt unverkaeuflich (es gibt daq
aber bereits diverse Geraete), und bei vielen (so z.B. auch bei den Speedport
der Telekom) ist es schwieriger den IPv6 Packetfilter fuer Services die man
anbieten will zu umgehen als den Paketfilter zu nutzen (nein, man kann den
dort gar nicht klomplett loswerden) und stateful DHCPv6 kann man sich fuer
den "SOHO-Markt" eh komplett schenken, da die Adresszuweisung per SLAAC ja
bestens funktioniert (bei allen gaengigen IPv6 faehigen Betriebssystemen).
Und prefix-delegation isdt ein "must have" damit das bei den gaengigen DSL-
Providern mit PPPoE ueberhaupt halbwegs funbktioniert. Gerade die von dir
genannten Punkte werden also in so ziemlich jedem SOHO Router implementiert
sein (ggfs. noch nicht einmal abschaltbar).
>> >So etwas gibt es durchaus, IIRC allerdings nicht im Consumer Bereich.
>> >Hier steht z.B. eine kleine ASA die meinen Traffic filtert. Die tut ganz
>> >gut.
>> Man kann auch einfach eine Fritzbox nehmen, die macht das nämlich auch
>> richtig.
> Aber wenn er nun schon eine ASA hat...
So ist es: eine ASA habe ich bereits, eine Fritzbox nicht.
> Marc Haber <mh+usene...@zugschl.us> wrote:
>> Ich habe keinen zweifel dass gerade Hersteller der unteren Preisklasse
>> das so handhaben werden. Andererseits werden diese auch noch Jahre
>> brauchen, bis sie so komplexe Dinge wie Prefix Delegation, Neighbor
>> Discovery und DHCPv6 auf die Reihe gebracht haben.
Ohne Neighbor Discovery funktioniert IPv6 gar nicht, ohne Router-Advertisement
>> Ich habe keinen zweifel dass gerade Hersteller der unteren Preisklasse
>> das so handhaben werden. Andererseits werden diese auch noch Jahre
>> brauchen, bis sie so komplexe Dinge wie Prefix Delegation, Neighbor
>> Discovery und DHCPv6 auf die Reihe gebracht haben.
waere ein IPv6 faehiger Router fuer den SOHO-Markt unverkaeuflich (es gibt daq
aber bereits diverse Geraete), und bei vielen (so z.B. auch bei den Speedport
der Telekom) ist es schwieriger den IPv6 Packetfilter fuer Services die man
anbieten will zu umgehen als den Paketfilter zu nutzen (nein, man kann den
dort gar nicht klomplett loswerden) und stateful DHCPv6 kann man sich fuer
den "SOHO-Markt" eh komplett schenken, da die Adresszuweisung per SLAAC ja
bestens funktioniert (bei allen gaengigen IPv6 faehigen Betriebssystemen).
Und prefix-delegation isdt ein "must have" damit das bei den gaengigen DSL-
Providern mit PPPoE ueberhaupt halbwegs funbktioniert. Gerade die von dir
genannten Punkte werden also in so ziemlich jedem SOHO Router implementiert
sein (ggfs. noch nicht einmal abschaltbar).
>> >So etwas gibt es durchaus, IIRC allerdings nicht im Consumer Bereich.
>> >Hier steht z.B. eine kleine ASA die meinen Traffic filtert. Die tut ganz
>> >gut.
>> Man kann auch einfach eine Fritzbox nehmen, die macht das nämlich auch
>> richtig.
> Aber wenn er nun schon eine ASA hat...
0 new messages