[LinuxOB] Ubuntu und Firewall

Daniel Dombrowski daniel.dombrowski at linuxob.de
Sa Feb 2 14:03:42 CET 2008 

On Sat, 2008-02-02 at 12:56 +0100, Michael Helmrich wrote:
> > 
> > Christian würde nun noch das Thema Port-Knocking aufnehmen 
> > (z. B. der SSH - Port wird hinter einem anderen Port 
> > versteckt. Erst wenn ein Verbindungsaufbau zu dem 
> > Knocking-Port aufgebaut wurde ist es möglich auf den SSH-Port 
> > zu connecten. Dies zusammen mit einem Portscan-Filter macht 
> > es möglich, dass der SSH-Port fast unsichtbar ist.
> > 
> 
> Hallo nochmal,
> 
> Ich muss da nun nochmal nachhaken, weil ich im Internet keine ganz so
> eindeutige Kommentierungen dazu gefunden habe. Wie es funktioniert ist mir
> nun schon klar.
> Mein eigentlicher Port den ich erreichen möchte liegt mit einem SSH-Server
> sagen wir mal auf dem klassischen Port 22. Dieser Port ist auf einem
> Ubuntu-Rechner, der in einem Netzwerk mit anderen Windoof-Rechnern
> integriert ist. Das gesamte Netzwerk ist hinter einem Arcor (Zyxel)
> DSL-Router. Beim Portknocking muss ich den Ubuntu dazu bringen, dass zum
> Beispiel der Port 20000, 30000, und 40000 anklopfbar ist, damit bei einer
> richtigen Reihenfolge der Port 22 für die anklopfende IP-Adresse geöffnet
> werden kann. 

Ja, mit der Ausnahme, dass es einen Port 40000 nicht gibt. ;) Die
höchste Portnummer ist 32767.

> Das bedeutet aber doch auch für meinen Router, dass ich die Ports 20000,
> 30000, 40000 und 22 auf meinen Ubuntu-Rechner "forwarden" muss, oder?

Ja, ich denke schon, es sei denn, dein Router übernimmt das
Port-Knocking und schaltet daanach dann das Port-Forwarding auf deinen
Ubuntu-Rechner frei.

>  Ist das gesamte Netzwerk nicht dann von "außen" erkennbar?

Nein. Wenn, dann sind höchstens die geforwardeten Ports erkennbar, und
das natürlich auch nur auf dem einen Rechner.

>  Sieht man nicht die 4
> Ports bzw. bekommt bei einem Portscan eine andere Meldung bzw. Zeit oder so?
> Hat da jemand schon Erfahrung mit?

Puh, keine Ahnung, ich hab noch nie Port-Knocking benutzt und mich auch
noch nie intensiv mit Port-Scanning beschäftigt. Aber ich bin mir
sicher, es gibt welche hier auf der Liste, die dir da helfen können.

Gruß

Daniel

Mehr Informationen über die Mailingliste linux