[linux] Re: iptables

Hugo van der Kooij hvdkooij op vanderkooij.org
Zo Aug 28 16:33:09 CEST 2005


On Sun, 28 Aug 2005, Gijs Hillenius wrote:

> >>>>> Hugo van der Kooij writes:
>
>
>     >> PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=68 DPT=67 LEN=308 Aug 28
>     >> 00:02:28 waterstof last message repeated 5 times
>
>       > En waarom wil je DHCP doen? Als dat je normale manier is om je
>       > adres te bemachtigen dan moet je alleen de andere kant nog
>       > controleren of het wel het juiste adres is. En dit NIET
>       > filteren natuurlijk als het klopt. Anders komt je link nooit
>       > meer op.
>
> Ik heb nu in iptables -L
>
> ACCEPT     udp  --  anywhere             anywhere      udp dpt:bootps
> ACCEPT     udp  --  anywhere             anywhere      udp dpt:bootpc
> ACCEPT     tcp  --  anywhere             anywhere      tcp dpt:bootps
> ACCEPT     tcp  --  anywhere             anywhere      tcp dpt:bootpc
>
>
> En dat realiseerde ik met
>
>
> $IPTABLES -A INPUT -i $EXTERNAL_INTERFACE -p UDP --dport 67 -j ACCEPT
> $IPTABLES -A INPUT -i $EXTERNAL_INTERFACE -p UDP --dport 68 -j ACCEPT
> $IPTABLES -A INPUT -i $EXTERNAL_INTERFACE -p tcp --dport 67 -j ACCEPT
> $IPTABLES -A INPUT -i $EXTERNAL_INTERFACE -p tcp --dport 68 -j ACCEPT
> $IPTABLES -A OUTPUT -p UDP --dport 67 -j ACCEPT
> $IPTABLES -A OUTPUT -p UDP --dport 68 -j ACCEPT
> $IPTABLES -A OUTPUT -p tcp --dport 67 -j ACCEPT
> $IPTABLES -A OUTPUT -p tcp --dport 68 -j ACCEPT
>
>
> De eerste vier is om het antwoord terug te krijgen, de tweede vier om
> de vraag te stellen. Toch?

Het lijkt me dat je hier problemen mee kan uitlokken. Je zet DHCP
wagenwijd open. Als ik source poort 68 of 67 pak passeer ik een fiks deel
van je hele ACL op de weg terug.

Je wilt dat jouw PC (IP of 0.0.0.0) naar broadcast of DHCP server kan van
bootpc naar bootps. En het bijbehorende antwoord wil je ook hebben.

En inderdaad kan ik nu uitvinden dat TCP/67 en TCP/68 niets hebben
luisteren: "Connection refused"
Op een willekeurige andere poort wordt namelijk niets geantwoord.

BOOTP/DHCP doen niets met TCP dus die wil je zowiezo niet open hebben.

Hugo.

-- 
	I hate duplicates. Just reply to the relevant mailinglist.
	hvdkooij op vanderkooij.org		http://hvdkooij.xs4all.nl/
		Don't meddle in the affairs of magicians,
		for they are subtle and quick to anger.



More information about the Linux mailing list