---

Har lige sat en Mandrake8.0 Box op, hvordan kan man overvåge åbne og lukkede
porte, samt evt. pakketyper på portene.

Findes der programmer som kan dedekterer portscanninger?
Findes der analysevæktøjer til apache's/ProFTPD's logfiler, som er
grafiske(kører under X)?


--
Henrik
Er ved at vågne til en ny og (måske) bedre verden

---

Henrik Holm Jensen wrote:
>
> Har lige sat en Mandrake8.0 Box op, hvordan kan man overvåge åbne og lukkede
> porte, samt evt. pakketyper på portene.

Selve filtreringen kan ske ved netfilter der er Linux 2,4 kernes
firewall. Den betjenes med komandoen iptables

Du kan se hvilke porte du har åbne med

nmap

Der findes også en X-frontend til den.

>
> Findes der programmer som kan dedekterer portscanninger?

Ja der findes portsentry

> Findes der analysevæktøjer til apache's/ProFTPD's logfiler, som er
> grafiske(kører under X)?

Jeg ved det ikke måske Webmin kan noget

> Henrik
> Er ved at vågne til en ny og (måske) bedre verden
Et godt råd, du skal ikke være bange for teksfiler og komandobaserede
værktøjer
X er godt til mange ting men når vi taler om configuration og sikkerhed,
bidrager de stort set kun med falsk tryghed.


--
-
Poul-Erik Andreasen
Hvis du mangler nogen til noget eller du kan noget for nogen.
http://linux-freelance.pea.dk

---

> > Har lige sat en Mandrake8.0 Box op, hvordan kan man overvåge åbne og
lukkede
> > porte, samt evt. pakketyper på portene.
> Du kan se hvilke porte du har åbne med
>
> nmap

Det er nemmere at bruge netstat til at se åbne porte, istedet for at
portscanne sig selv.

F.eks. netstat --inet -lnp. Se man siden for flere detaljer.

---

Kristian Pedersen wrote:
>
> > > Har lige sat en Mandrake8.0 Box op, hvordan kan man overvåge åbne og
> lukkede
> > > porte, samt evt. pakketyper på portene.
> > Du kan se hvilke porte du har åbne med
> >
> > nmap
>
> Det er nemmere at bruge netstat til at se åbne porte, istedet for at
> portscanne sig selv.

Hvis du portscanner på localhost går det lige så hurtigt som netstat,
så hvorfor skulle det være nemmere. Hvis man portskanner sin host tager
det ganske rigtigt længere tid, men til gændgælde kan manogså se hvilke
prote der reelt er åbne ud til offentligheden. Det kan være rart hvis
man er i gang med iptables.

> F.eks. netstat --inet -lnp. Se man siden for flere detaljer.

--
-
Poul-Erik Andreasen
Hvis du mangler nogen til noget eller du kan noget for nogen.
http://linux-freelance.pea.dk

---

Poul-Erik Andreasen wrote:

> Du kan se hvilke porte du har åbne med
>
> nmap

Hvis man vil scanne fra en anden computer.
Ellers kan 'netstat -nap' bruges til at se hvilke porte der er noget og
hvad der lytter.

--
Jesper

---

Jesper FA wrote:
>
> Poul-Erik Andreasen wrote:
>
> > Du kan se hvilke porte du har åbne med
> >
> > nmap
>
> Hvis man vil scanne fra en anden computer.

Du kan da også scanne dig selv
Det er velstrengt taget det som programmet er beregnet til
portscanning af andre er i bedste fald amoralsk hvis man ikke er blevet
bedt om det.

> Ellers kan 'netstat -nap' bruges til at se hvilke porte der er noget og

> hvad der lytter.
>
> --
> Jesper

--
-
Poul-Erik Andreasen
Hvis du mangler nogen til noget eller du kan noget for nogen.
http://linux-freelance.pea.dk

---

Den Thu, 02 Aug 2001 19:42:58 +0200 skrev Poul-Erik Andreasen:
>Jesper FA wrote:
>>
>> Poul-Erik Andreasen wrote:
>>
>> > Du kan se hvilke porte du har åbne med
>> >
>> > nmap
>>
>> Hvis man vil scanne fra en anden computer.
>
>Du kan da også scanne dig selv

iptables -A INPUT -i lo -j ACCEPT

hvad fortæller en "nmap localhost" lige om hvad der er åbent?

Mvh
Kent
--
F0 0F C7 C8 - Intel Pentium bug

---

Kent Friis wrote:
>
> Den Thu, 02 Aug 2001 19:42:58 +0200 skrev Poul-Erik Andreasen:
> >Jesper FA wrote:
> >>
> >> Poul-Erik Andreasen wrote:
> >>
> >> > Du kan se hvilke porte du har åbne med
> >> >
> >> > nmap
> >>
> >> Hvis man vil scanne fra en anden computer.
> >
> >Du kan da også scanne dig selv
>
> iptables -A INPUT -i lo -j ACCEPT
>
> hvad fortæller en "nmap localhost" lige om hvad der er åbent?

Lige så meget som en netstat -l.

Hvis du skal skanne dig selv rigtigt skal du ud af huset først

så skal ikke bruge localhost men det offnentlige hostname så nmap
er nød til at gå over DNS.



-
Poul-Erik Andreasen
Hvis du mangler nogen til noget eller du kan noget for nogen.
http://linux-freelance.pea.dk

---

Poul-Erik Andreasen <poulerik@pea.dk> wrote:

>så skal ikke bruge localhost men det offnentlige hostname så nmap
>er nød til at gå over DNS.

Det er ikke nødvendigvis nok, men det har du vist fundet ud af nu,
hvis jeg skal tro min log:

# grep 213.237.11.74 /var/log/messages | wc -l
2340

Fandt du noget?


--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer

---

Allan Olesen wrote:
>
> Poul-Erik Andreasen <poulerik@pea.dk> wrote:
>
> >så skal ikke bruge localhost men det offnentlige hostname så nmap
> >er nød til at gå over DNS.
>
> Det er ikke nødvendigvis nok, men det har du vist fundet ud af nu,
> hvis jeg skal tro min log:

Til hvad??? vi taller om at skanne sig selv hvad har det at gøre med at
jeg
ikke gider bruge et kvarter på at skanne dig


--
-
Poul-Erik Andreasen
Hvis du mangler nogen til noget eller du kan noget for nogen.
http://linux-freelance.pea.dk

---

Poul-Erik Andreasen <poulerik@pea.dk> wrote:

>Du kan da også scanne dig selv
>Det er velstrengt taget det som programmet er beregnet til
>portscanning af andre er i bedste fald amoralsk hvis man ikke er blevet
>bedt om det.

Jeg ved ikke, hvordan det fungerer under kerne 2.4, men med 2.2 og
ipchains får man forkerte resultater ved at scanne sin egen ipadresse.

Du har min tilladelse til at prøve at eftergøre nedenstående (som jeg
har kørt fra 62.243.55.131). Du skulle helst ikke finde een eneste
port åben - ud over nogle høje spilporte, som forwardes til en anden
maskine.

># nmap 62.243.55.131
>
>Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/)
>Interesting ports on ip131.kd4nxx3.adsl.tele.dk (62.243.55.131):
>Port State Protocol Service
>13 open tcp daytime
>21 open tcp ftp
>23 open tcp telnet
>25 open tcp smtp
>37 open tcp time
>79 open tcp finger
>80 open tcp http
>98 open tcp linuxconf
>109 open tcp pop-2
>110 open tcp pop-3
>111 open tcp sunrpc
>113 open tcp auth
>120 open tcp cfdptkt
>139 open tcp netbios-ssn
>143 open tcp imap2
>513 open tcp login
>514 open tcp shell
>515 open tcp printer
>764 open tcp omserv
>785 open tcp unknown
>790 open tcp unknown
>795 open tcp unknown
>901 open tcp unknown


--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer

---

Allan Olesen wrote:
>
> Poul-Erik Andreasen <poulerik@pea.dk> wrote:
>
> >Du kan da også scanne dig selv
> >Det er velstrengt taget det som programmet er beregnet til
> >portscanning af andre er i bedste fald amoralsk hvis man ikke er blevet
> >bedt om det.
>
> Jeg ved ikke, hvordan det fungerer under kerne 2.4, men med 2.2 og
> ipchains får man forkerte resultater ved at scanne sin egen ipadresse.
>
> Du har min tilladelse til at prøve at eftergøre nedenstående (som jeg
> har kørt fra 62.243.55.131). Du skulle helst ikke finde een eneste
> port åben - ud over nogle høje spilporte, som forwardes til en anden
> maskine.

> ># nmap 62.243.55.131

Hvis det er den lokale ipadresse, så er det det samme som localhost, og
så
bliver der ikke filtreret, der skal skannes via en URL der ikke kan
opløses lokal hvis du vil have filteret med. Netstat fortæller også bare
hvem der
lytter hvor, ikke hvad der bliver filtreret fra.

I øvrigt har du spærret for ping(det har jeg også) så det tager omkring
et
kvarters tid at mappe dig det gider jeg ikke vente på.
>
--
-
Poul-Erik Andreasen
Hvis du mangler nogen til noget eller du kan noget for nogen.
http://linux-freelance.pea.dk

---

Poul-Erik Andreasen <poulerik@pea.dk> wrote:

>Hvis det er den lokale ipadresse, så er det det samme som localhost, og
>så
>bliver der ikke filtreret, der skal skannes via en URL der ikke kan
>opløses lokal hvis du vil have filteret med.

Hvad skulle det hjælpe?

Når du gør det, laver maskinen en dns-forespørgsel ud af huset, får
oplyst din globale ip-adresse, og scanner derefter selv denne
ip-adresse - præcis som den ville, hvis du bare scannede din globale
ip-adresse.

>I øvrigt har du spærret for ping(det har jeg også) så det tager omkring
>et kvarters tid at mappe dig det gider jeg ikke vente på.

Ja, det skriver du også i et andet indlæg, men det er ikke rigtigt. En
spærring for ping alene ville ikke give den effekt. Den påvirkede kun
disse 5 pakker:
>Aug 2 21:47:36 aho1 kernel: Packet log: input DENY ppp0 PROTO=1 213.237.11.74:8 62.243.55.131:0 L=28 S=0x00 I=29141 F=0x0000 T=29
>Aug 2 21:47:42 aho1 kernel: Packet log: input DENY ppp0 PROTO=1 213.237.11.74:8 62.243.55.131:0 L=28 S=0x00 I=11710 F=0x0000 T=29
>Aug 2 21:47:48 aho1 kernel: Packet log: input DENY ppp0 PROTO=1 213.237.11.74:8 62.243.55.131:0 L=28 S=0x00 I=5558 F=0x0000 T=29
>Aug 2 21:47:54 aho1 kernel: Packet log: input DENY ppp0 PROTO=1 213.237.11.74:8 62.243.55.131:0 L=28 S=0x00 I=23460 F=0x0000 T=29
>Aug 2 21:48:00 aho1 kernel: Packet log: input DENY ppp0 PROTO=1 213.237.11.74:8 62.243.55.131:0 L=28 S=0x00 I=46767 F=0x0000 T=29

....hvorimod dine 2335 tcp-pakker overhovedet ikke blev påvirket af, at
jeg har spærret for ping. Når det tog så lang tid, skyldtes det
derimod, at ingen af de porte, du scannede, svarede med noget som
helst - for sådan har jeg også sat den op.

Men inden du stoppede, nåede du faktisk at tcp-scanne både port 37,
120, 139 og 790. Alle disse svarede i _min_ portscanning. Svarede de i
_din_?


--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer

---

Allan Olesen wrote:
>
> Poul-Erik Andreasen <poulerik@pea.dk> wrote:
>
> >Hvis det er den lokale ipadresse, så er det det samme som localhost, og
> >så
> >bliver der ikke filtreret, der skal skannes via en URL der ikke kan
> >opløses lokal hvis du vil have filteret med.
>
> Hvad skulle det hjælpe?
>
> Når du gør det, laver maskinen en dns-forespørgsel ud af huset, får
> oplyst din globale ip-adresse, og scanner derefter selv denne
> ip-adresse - præcis som den ville, hvis du bare scannede din globale
> ip-adresse.

Så skulle den heller ikke lave fejl. Hvad er det for nogle fejl du får
Når jeg skanner mig selv viser den da korrekt hvad der er lukket.
>
> >I øvrigt har du spærret for ping(det har jeg også) så det tager omkring
> >et kvarters tid at mappe dig det gider jeg ikke vente på.
>
> Ja, det skriver du også i et andet indlæg, men det er ikke rigtigt. En
> spærring for ping alene ville ikke give den effekt. Den påvirkede kun
> disse 5 pakker:
> >Aug 2 21:47:36 aho1 kernel: Packet log: input DENY ppp0 PROTO=1 213.237.11.74:8 62.243.55.131:0 L=28 S=0x00 I=29141 F=0x0000 T=29
> >Aug 2 21:47:42 aho1 kernel: Packet log: input DENY ppp0 PROTO=1 213.237.11.74:8 62.243.55.131:0 L=28 S=0x00 I=11710 F=0x0000 T=29
> >Aug 2 21:47:48 aho1 kernel: Packet log: input DENY ppp0 PROTO=1 213.237.11.74:8 62.243.55.131:0 L=28 S=0x00 I=5558 F=0x0000 T=29
> >Aug 2 21:47:54 aho1 kernel: Packet log: input DENY ppp0 PROTO=1 213.237.11.74:8 62.243.55.131:0 L=28 S=0x00 I=23460 F=0x0000 T=29
> >Aug 2 21:48:00 aho1 kernel: Packet log: input DENY ppp0 PROTO=1 213.237.11.74:8 62.243.55.131:0 L=28 S=0x00 I=46767 F=0x0000 T=29



> ...hvorimod dine 2335 tcp-pakker overhovedet ikke blev påvirket af, at
> jeg har spærret for ping. Når det tog så lang tid, skyldtes det
> derimod, at ingen af de porte, du scannede, svarede med noget som
> helst - for sådan har jeg også sat den op.

Det er fordi jeg lavede to skanninger når nmap konstaterer atping bliver
afvist stopper den, næsten med det samme. Den anden skanning er lavet
med option -P0 der benytter en anden metode. Det at at du har sat dit
sytem op
til at droppe frem for at rejekte gøre selvfølgelig at det tager endnu
længere tid, men på den anden side er det ikke det normale.

>
> Men inden du stoppede, nåede du faktisk at tcp-scanne både port 37,
> 120, 139 og 790. Alle disse svarede i _min_ portscanning. Svarede de i
> _din_?

Nej når jeg stopper før tid får jeg ingen udlæsninger

Foresten random funtionen i Linux 2.4 er efterhånden blet så god at nmap
ikke er i stand til at gætte hvilket operativsystem man benytter.

--
-
Poul-Erik Andreasen
Hvis du mangler nogen til noget eller du kan noget for nogen.
http://linux-freelance.pea.dk

---

Poul-Erik Andreasen wrote:
> Foresten random funtionen i Linux 2.4 er efterhånden blet så god at nmap
> ikke er i stand til at gætte hvilket operativsystem man benytter.

Hvad bliver den random-funktion brugt til?

--
Lars Kongshøj

---

Lars Kongshøj wrote:
>
> Poul-Erik Andreasen wrote:
> > Foresten random funtionen i Linux 2.4 er efterhånden blet så god at nmap
> > ikke er i stand til at gætte hvilket operativsystem man benytter.
>
> Hvad bliver den random-funktion brugt til?

Beklager, jeg vrøvler lidt. Med -O optionen hvor nmap prøver at finde
det fingerprint der skal til for at gætte hvilket operativsystem der
bliver benyttet, laver den også en TCP Sequence Predictability
Classification.
Den giver resultatet

Class=random positive increments
Difficulty=2241036 (Good luck!)

Det fik jeg rodet lidt rundt i.

--
-
Poul-Erik Andreasen
Hvis du mangler nogen til noget eller du kan noget for nogen.
http://linux-freelance.pea.dk

---

Poul-Erik Andreasen <poulerik@pea.dk> wrote:

>> Når du gør det, laver maskinen en dns-forespørgsel ud af huset, får
>> oplyst din globale ip-adresse, og scanner derefter selv denne
>> ip-adresse - præcis som den ville, hvis du bare scannede din globale
>> ip-adresse.
>
>Så skulle den heller ikke lave fejl. Hvad er det for nogle fejl du får

Det har jeg jo beskrevet, men jeg kan da godt gentage det:
Når jeg fra min egen maskine portscanner maskinens
internet-ip-adresse, fremstår porte som åbne, selv om de _er_ lukkede
for adgang udefra.

Lad os fortsætte eksperimenterne, så du kan se, at jeg har ret. Jeg
vil gerne medgive at det var uhensigtsmæssigt at invitere dig til en
fuld portscanning, når nu min maskine bevidst er sat op, så fulde
portscannings tager lang tid. Men vi kan jo begrænse os til en enkelt
port:

># nmap -P0 -p 23 62.243.55.131
>
>Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/)
>Interesting ports on ip131.kd4nxx3.adsl.tele.dk (62.243.55.131):
>Port State Protocol Service
>23 open tcp telnet
>
>Nmap run completed -- 1 IP address (1 host up) scanned in 5 seconds

Den burde også være overkommelig for dig, hvad siger den fra din
maskine?

Jeg kan da forøvrigt samtidig vise dig, at det ikke gør forskel at
bruge et navn, som først skal resolves:

>[root@aho1 /root]# nmap -P0 -p 23 aho.dyndns.dk
>
>Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/)
>Interesting ports on ip131.kd4nxx3.adsl.tele.dk (62.243.55.131):
>Port State Protocol Service
>23 open tcp telnet
>
>Nmap run completed -- 1 IP address (1 host up) scanned in 2 seconds

=====

>Når jeg skanner mig selv viser den da korrekt hvad der er lukket.

At det lykkes i på din maskine er ikke et bevis for, at man generelt
kan stole på en portscanning af sin egen ip-adresse.
--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer

---

Allan Olesen wrote:
>
> Poul-Erik Andreasen <poulerik@pea.dk> wrote:
>
> >> Når du gør det, laver maskinen en dns-forespørgsel ud af huset, får
> >> oplyst din globale ip-adresse, og scanner derefter selv denne
> >> ip-adresse - præcis som den ville, hvis du bare scannede din globale
> >> ip-adresse.
> >
> >Så skulle den heller ikke lave fejl. Hvad er det for nogle fejl du får
>
> Det har jeg jo beskrevet, men jeg kan da godt gentage det:
> Når jeg fra min egen maskine portscanner maskinens
> internet-ip-adresse, fremstår porte som åbne, selv om de _er_ lukkede
> for adgang udefra.
>
> Lad os fortsætte eksperimenterne, så du kan se, at jeg har ret. Jeg
> vil gerne medgive at det var uhensigtsmæssigt at invitere dig til en
> fuld portscanning, når nu min maskine bevidst er sat op, så fulde
> portscannings tager lang tid. Men vi kan jo begrænse os til en enkelt
> port:
>
> ># nmap -P0 -p 23 62.243.55.131
> >
> >Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/)
> >Interesting ports on ip131.kd4nxx3.adsl.tele.dk (62.243.55.131):
> >Port State Protocol Service
> >23 open tcp telnet
> >
> >Nmap run completed -- 1 IP address (1 host up) scanned in 5 seconds
>
> Den burde også være overkommelig for dig, hvad siger den fra din
> maskine?
>
> Jeg kan da forøvrigt samtidig vise dig, at det ikke gør forskel at
> bruge et navn, som først skal resolves:
>
> >[root@aho1 /root]# nmap -P0 -p 23 aho.dyndns.dk
> >
> >Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/)
> >Interesting ports on ip131.kd4nxx3.adsl.tele.dk (62.243.55.131):
> >Port State Protocol Service
> >23 open tcp telnet
> >
> >Nmap run completed -- 1 IP address (1 host up) scanned in 2 seconds
>

Det er rigtigt at den viser lukket herfra. Men den korte tid der går for
dig med at skanne viser at du aldrig er kommet ud af huset, min
scanning tog 36 sekunder!!

Det kan skyldes at du har sat dit domæne op som localhost aliases i
hosts filen. Jeg har nogle virtual-host jeg bruger i apache som også
kaldes internt
og derfor er sat som localhost aliases, hvis jeg prøver at scanne dem
bliver det også forkert.

> =====
>
> >Når jeg skanner mig selv viser den da korrekt hvad der er lukket.
>
> At det lykkes i på din maskine er ikke et bevis for, at man generelt
> kan stole på en portscanning af sin egen ip-adresse.

Hvis man som i dit tilfælde laver en localhost scanning,
så kan man selvfølgelig ikke stole på den. Ud over at tiden indikerer
at det en localhost scanning, så kan man også se i messeges om den er
registreret, når jeg scanner mig selv får jeg en masse linjer som denne

Aug 3 19:42:08 localhost kernel: IN=eth0 OUT=
MAC=00:50:ba:09:51:37:00:e0:d0:13:b7:e0:08:00 SRC=213.237.11.74
DST=192.168.1.2 LEN=60 TOS=0x00 PREC=0x00 TTL=61 ID=24784 DF PROTO=TCP
SPT=21292 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0

Bemærk src=213.237.11.74

En sådan scanning af en enkelt port tager ca 36 sekunder altså samme
tid som det tog at scanne dig

Jeg får slet ikke noget hvis jeg scanner en af mine localhost aliaser,
og de tager også kun et par sekunder.

Vis mig en scanning fra dig selv hvor du i messeges kan se at den er
kommet
udefra, samtidig med at den er fejlbehæftet, det ville interessere
mig, jeg har nemlig ikke andre muligheder end at scanne mig selv.

--
-
Poul-Erik Andreasen
Hvis du mangler nogen til noget eller du kan noget for nogen.
http://linux-freelance.pea.dk

---

Poul-Erik Andreasen <poulerik@pea.dk> wrote:

>Det er rigtigt at den viser lukket herfra. Men den korte tid der går for
>dig med at skanne viser at du aldrig er kommet ud af huset

Det er jo lige præcis det, vi i kor har forsøgt at forklare dig.


--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer

---

Allan Olesen wrote:
>
> Poul-Erik Andreasen <poulerik@pea.dk> wrote:
>
> >Det er rigtigt at den viser lukket herfra. Men den korte tid der går for
> >dig med at skanne viser at du aldrig er kommet ud af huset
>
> Det er jo lige præcis det, vi i kor har forsøgt at forklare dig.
>

Det er da ikke min skyld at i ikke kan finde ud af at komme ud af huset
I hævder at man ikke kan portscanne sig selv, jeg siger at det kan man
godt, så siger i at det bliver upålideligt, hvorefter i viser nogel
scanninger der de facto er localhost scanninger, og hævder dermed at det
er upålideligt. Det har da ikke noget med noget at gøre.

Hvad om i fandt ud af hvorfor i ikke kommer ud af huset i stedet for at
kalde andres scanninger for upålidelige.

--
-
Poul-Erik Andreasen
Hvis du mangler nogen til noget eller du kan noget for nogen.
http://linux-freelance.pea.dk

---

Den Fri, 03 Aug 2001 22:41:24 +0200 skrev Poul-Erik Andreasen:
>Allan Olesen wrote:
>>
>> Poul-Erik Andreasen <poulerik@pea.dk> wrote:
>>
>> >Det er rigtigt at den viser lukket herfra. Men den korte tid der går for
>> >dig med at skanne viser at du aldrig er kommet ud af huset
>>
>> Det er jo lige præcis det, vi i kor har forsøgt at forklare dig.
>>
>
>Det er da ikke min skyld at i ikke kan finde ud af at komme ud af huset
>I hævder at man ikke kan portscanne sig selv, jeg siger at det kan man
>godt, så siger i at det bliver upålideligt, hvorefter i viser nogel
>scanninger der de facto er localhost scanninger, og hævder dermed at det
>er upålideligt. Det har da ikke noget med noget at gøre.
>
>Hvad om i fandt ud af hvorfor i ikke kommer ud af huset i stedet for at
>kalde andres scanninger for upålidelige.

Fordi ethvert fornuftigt OS altid vil tage den korteste vej. Dvs. når
man scanner sit eget IP-nr, så går den via loopback.

Mvh
Kent
--
Gilthoniel, A Elbereth
Aiya elenion ancalima!
- Tolkien, "The Lord of the Rings"

---

Kent Friis wrote:
>
> Den Fri, 03 Aug 2001 22:41:24 +0200 skrev Poul-Erik Andreasen:
> >Allan Olesen wrote:
> >>
> >> Poul-Erik Andreasen <poulerik@pea.dk> wrote:
> >>
> >> >Det er rigtigt at den viser lukket herfra. Men den korte tid der går for
> >> >dig med at skanne viser at du aldrig er kommet ud af huset
> >>
> >> Det er jo lige præcis det, vi i kor har forsøgt at forklare dig.
> >>
> >
> >Det er da ikke min skyld at i ikke kan finde ud af at komme ud af huset
> >I hævder at man ikke kan portscanne sig selv, jeg siger at det kan man
> >godt, så siger i at det bliver upålideligt, hvorefter i viser nogel
> >scanninger der de facto er localhost scanninger, og hævder dermed at det
> >er upålideligt. Det har da ikke noget med noget at gøre.
> >
> >Hvad om i fandt ud af hvorfor i ikke kommer ud af huset i stedet for at
> >kalde andres scanninger for upålidelige.
>
> Fordi ethvert fornuftigt OS altid vil tage den korteste vej. Dvs. når
> man scanner sit eget IP-nr, så går den via loopback.


Så er Linux 2.4.5 altså ikke noget fornuftigt operativsystem, det var da
interessandt at vide. Du er måske BSD freak, skønt jeg tilader mig at
tvivle
på at BSD ikke også giver lige så meget kontrol over tingende som Linux.


--
-
Poul-Erik Andreasen
Hvis du mangler nogen til noget eller du kan noget for nogen.
http://linux-freelance.pea.dk

---

Den Fri, 03 Aug 2001 22:51:02 +0200 skrev Poul-Erik Andreasen:
>Kent Friis wrote:
>>
>> Den Fri, 03 Aug 2001 22:41:24 +0200 skrev Poul-Erik Andreasen:
>> >Allan Olesen wrote:
>> >>
>> >> Poul-Erik Andreasen <poulerik@pea.dk> wrote:
>> >>
>> >> >Det er rigtigt at den viser lukket herfra. Men den korte tid der går for
>> >> >dig med at skanne viser at du aldrig er kommet ud af huset
>> >>
>> >> Det er jo lige præcis det, vi i kor har forsøgt at forklare dig.
>> >>
>> >
>> >Det er da ikke min skyld at i ikke kan finde ud af at komme ud af huset
>> >I hævder at man ikke kan portscanne sig selv, jeg siger at det kan man
>> >godt, så siger i at det bliver upålideligt, hvorefter i viser nogel
>> >scanninger der de facto er localhost scanninger, og hævder dermed at det
>> >er upålideligt. Det har da ikke noget med noget at gøre.
>> >
>> >Hvad om i fandt ud af hvorfor i ikke kommer ud af huset i stedet for at
>> >kalde andres scanninger for upålidelige.
>>
>> Fordi ethvert fornuftigt OS altid vil tage den korteste vej. Dvs. når
>> man scanner sit eget IP-nr, så går den via loopback.
>
>
>Så er Linux 2.4.5 altså ikke noget fornuftigt operativsystem, det var da
>interessandt at vide. Du er måske BSD freak, skønt jeg tilader mig at
>tvivle
>på at BSD ikke også giver lige så meget kontrol over tingende som Linux.

Linux er et af de OS'er der tager den korteste vej, medmindre man
tvinger den til noget andet vha. en suspekt NAT-opsætning.

Mvh
Kent
--
Gilthoniel, A Elbereth
Aiya elenion ancalima!
- Tolkien, "The Lord of the Rings"

---

Kent Friis wrote:
>
> Den Fri, 03 Aug 2001 22:51:02 +0200 skrev Poul-Erik Andreasen:
> >Kent Friis wrote:
> >>
> >> Den Fri, 03 Aug 2001 22:41:24 +0200 skrev Poul-Erik Andreasen:
> >> >Allan Olesen wrote:
> >> >>
> >> >> Poul-Erik Andreasen <poulerik@pea.dk> wrote:
> >> >>
> >> >> >Det er rigtigt at den viser lukket herfra. Men den korte tid der går for
> >> >> >dig med at skanne viser at du aldrig er kommet ud af huset
> >> >>
> >> >> Det er jo lige præcis det, vi i kor har forsøgt at forklare dig.
> >> >>
> >> >
> >> >Det er da ikke min skyld at i ikke kan finde ud af at komme ud af huset
> >> >I hævder at man ikke kan portscanne sig selv, jeg siger at det kan man
> >> >godt, så siger i at det bliver upålideligt, hvorefter i viser nogel
> >> >scanninger der de facto er localhost scanninger, og hævder dermed at det
> >> >er upålideligt. Det har da ikke noget med noget at gøre.
> >> >
> >> >Hvad om i fandt ud af hvorfor i ikke kommer ud af huset i stedet for at
> >> >kalde andres scanninger for upålidelige.
> >>
> >> Fordi ethvert fornuftigt OS altid vil tage den korteste vej. Dvs. når
> >> man scanner sit eget IP-nr, så går den via loopback.
> >
> >
> >Så er Linux 2.4.5 altså ikke noget fornuftigt operativsystem, det var da
> >interessandt at vide. Du er måske BSD freak, skønt jeg tilader mig at
> >tvivle
> >på at BSD ikke også giver lige så meget kontrol over tingende som Linux.
>
> Linux er et af de OS'er der tager den korteste vej, medmindre man
> tvinger den til noget andet vha. en suspekt NAT-opsætning.

Hvilket vil sige?? Jeg tvinger ikke min Linux til noget som helst.

--
-
Poul-Erik Andreasen
Hvis du mangler nogen til noget eller du kan noget for nogen.
http://linux-freelance.pea.dk

---

Poul-Erik Andreasen <poulerik@pea.dk> wrote:

>Det er da ikke min skyld at i ikke kan finde ud af at komme ud af huset

Dine pakker har ikke været ude af huset. De har ikke engang været ude
i dit netkabel eller usb-kabel, eller hvad du nu bruger. Hvis du selv
tror det, er det sørgeligt.

Pakkerne har bare været en tur ude forbi dine filtre og tilbage igen.
Det gør de åbenbart i nogle kerneversioner, mens de i andre
kerneversioner ikke når så langt. Men hvis du læste, hvad jeg skrev i
mit første indlæg, tog jeg faktisk af samme grund forbehold for
kerneversionen.

>I hævder at man ikke kan portscanne sig selv, jeg siger at det kan man
>godt, så siger i at det bliver upålideligt, hvorefter i viser nogel
>scanninger der de facto er localhost scanninger, og hævder dermed at det
>er upålideligt. Det har da ikke noget med noget at gøre.

Du får det til at se ud som om, vi har vaklet rundt og ændret mening.
Det er ikke tilfældet. Det er bare dig, der først nu har fattet, hvad
vi forsøgte at fortælle dig.

>Hvad om i fandt ud af hvorfor i ikke kommer ud af huset i stedet for at
>kalde andres scanninger for upålidelige.

Jeg er ikke interesseret i at komme ud af huset. Hvis jeg skal
portscannes udefra, skal det dæleme være _rigtigt_ udefra, så jeg er
sikker på resultatet. Uanset om man selv tror, at man har fået kernen
til at behandle pakkerne, som om de kommer udefra, vil det være
direkte tåbeligt at løbe an på det.

Slut herfra.


--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer

---

Den Fri, 03 Aug 2001 23:45:59 +0200 skrev Allan Olesen:
>Poul-Erik Andreasen <poulerik@pea.dk> wrote:
>
>>Det er da ikke min skyld at i ikke kan finde ud af at komme ud af huset
>
>Dine pakker har ikke været ude af huset. De har ikke engang været ude
>i dit netkabel eller usb-kabel, eller hvad du nu bruger. Hvis du selv
>tror det, er det sørgeligt.
>
>Pakkerne har bare været en tur ude forbi dine filtre og tilbage igen.
>Det gør de åbenbart i nogle kerneversioner, mens de i andre
>kerneversioner ikke når så langt. Men hvis du læste, hvad jeg skrev i
>mit første indlæg, tog jeg faktisk af samme grund forbehold for
>kerneversionen.

Pakkerne vil gå forbi firewall-filteret uanset, men hvis man (som enhver
fornuftig firewall konfiguration) tillader al trafik fra loopback
interfacet, så vil de altid gå igennem.

Jeg tror nu det er noget helt andet han har gang i - den log han postede
havde to forskellige IP-numre, et 192.168 og et offentligt ip-nr.
Udgående trafik vil få afsender-ip-nr. fra det interface det ryger ud
på, og vil derfor være det samme som det interface man pinger. Så det
jeg tror der er sket, er at han rent faktisk ikke har portscannet sin
egen maskine, men derimod sin ADSL-router, som tilfældigvis er NAT'et
tilbage til PC'en.

Mvh
Kent
--
The revolution has just begun.

---

kfr@fleggaard.dk (Kent Friis) wrote:

>Pakkerne vil gå forbi firewall-filteret uanset, men hvis man (som enhver
>fornuftig firewall konfiguration) tillader al trafik fra loopback
>interfacet, så vil de altid gå igennem.

Ja, ok. Når man diskuterer med folk, der udtaler sig forkert og
kategorisk, kan man nogle gange komme til at overforenkle sine udsagn.


--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer

---

Poul-Erik Andreasen wrote:

>> Hvis man vil scanne fra en anden computer.
>
> Du kan da også scanne dig selv
> Det er velstrengt taget det som programmet er beregnet til
> portscanning af andre er i bedste fald amoralsk hvis man ikke er blevet
> bedt om det.

Læs hvad jeg skrive. Scenne fra en anden computer. Ikke scanne en anden
computer. Skal du scanne dig selv så det giver et præcist billede af hvad
andre kan se er du nødt til at scanne som om du er en anden. Det kan du
ikke ved at scanne fra samme computer
Grunden til det er at selvom du bruger dit netkorts IP, så er linux smart
nok til at se at det er dig og sender det via loopback. Da du sagtens kan
have programmer der ikke lytter på alle interfaces, eller have firewall
regler der behandler interfaces forskelligt kan du ikke være sikker på at
scanning via loopback giver det samme som hvad andre ser på det eksterne
interface.
Der ingen grund til at scanne hvad man kan få oplyst. Scanningen er fx.
bedre brugt på at kontrollere at man har fået lukket af med sine firewall
regler.

--
Jesper

---

Jesper FA wrote:
>
> Poul-Erik Andreasen wrote:
>
> >> Hvis man vil scanne fra en anden computer.
> >
> > Du kan da også scanne dig selv
> > Det er velstrengt taget det som programmet er beregnet til
> > portscanning af andre er i bedste fald amoralsk hvis man ikke er blevet
> > bedt om det.
>
> Læs hvad jeg skrive. Scenne fra en anden computer. Ikke scanne en anden
> computer. Skal du scanne dig selv så det giver et præcist billede af hvad
> andre kan se er du nødt til at scanne som om du er en anden. Det kan du
> ikke ved at scanne fra samme computer
> Grunden til det er at selvom du bruger dit netkorts IP, så er linux smart
> nok til at se at det er dig og sender det via loopback. Da du sagtens kan
> have programmer der ikke lytter på alle interfaces, eller have firewall
> regler der behandler interfaces forskelligt kan du ikke være sikker på at
> scanning via loopback giver det samme som hvad andre ser på det eksterne
> interface.
> Der ingen grund til at scanne hvad man kan få oplyst. Scanningen er fx.
> bedre brugt på at kontrollere at man har fået lukket af med sine firewall
> regler.

Hvis du skal scanne dig selv skal man da netop heller ikke bruge
loopback
Hvis man scanner sig selv på sit domæne/globale ip vil scanningen se ud
som om den kommer fra det globale ip-nummer. Det globale ipnummer er det
ikke nogen god ide at have i brug i firewallregler og blandt
programmmer, det er jo ikke sælig smart at rende en tur ud i byen bare
fordi man skal lave noge internt samarbejde, programmer i mellem

Men man kan scanne sit loopback for at se hvilke programmer der lytter
til hvilke porte, men det siger selvfølgelig ikke noget om hvad der kan
ses udefra.

> --
> Jesper

--
-
Poul-Erik Andreasen
Hvis du mangler nogen til noget eller du kan noget for nogen.
http://linux-freelance.pea.dk

---

Poul-Erik Andreasen wrote:

> Hvis du skal scanne dig selv skal man da netop heller ikke bruge
> loopback

Nej, hvor siger jeg man skulle det? Jeg siger at hvis du forsøger at scanne
din egen maskine fra sig selv, så vil det ryge via loopback, uanset hvad du
angiver af IP.

> Hvis man scanner sig selv på sit domæne/globale ip vil scanningen se ud
> som om den kommer fra det globale ip-nummer. Det globale ipnummer er det
> ikke nogen god ide at have i brug i firewallregler og blandt
> programmmer, det er jo ikke sælig smart at rende en tur ud i byen bare
> fordi man skal lave noge internt samarbejde, programmer i mellem

?? Hvad er det du mener med at det ikke er nogen god idé med globale
ipnummer i firewall regler?

--
Jesper

---

Jesper FA wrote:
>
> Poul-Erik Andreasen wrote:
>
> > Hvis du skal scanne dig selv skal man da netop heller ikke bruge
> > loopback
>
> Nej, hvor siger jeg man skulle det? Jeg siger at hvis du forsøger at scanne
> din egen maskine fra sig selv, så vil det ryge via loopback, uanset hvad du
> angiver af IP.
>
> > Hvis man scanner sig selv på sit domæne/globale ip vil scanningen se ud
> > som om den kommer fra det globale ip-nummer. Det globale ipnummer er det
> > ikke nogen god ide at have i brug i firewallregler og blandt
> > programmmer, det er jo ikke sælig smart at rende en tur ud i byen bare
> > fordi man skal lave noge internt samarbejde, programmer i mellem
>
> ?? Hvad er det du mener med at det ikke er nogen god idé med globale
> ipnummer i firewall regler?

Jeg mener bare det jeg skriver, ikke andet. Jeg antyder ikke at det er
en
specielt dårlig ide, jeg kan bare ikke se hvilken gavn man kunne have af
det. Hvorfor filtrere på pakker der kommer fra en selv.

--
-
Poul-Erik Andreasen
Hvis du mangler nogen til noget eller du kan noget for nogen.
http://linux-freelance.pea.dk

---

Poul-Erik Andreasen wrote:

> Jeg mener bare det jeg skriver, ikke andet. Jeg antyder ikke at det er
> en
> specielt dårlig ide, jeg kan bare ikke se hvilken gavn man kunne have af
> det. Hvorfor filtrere på pakker der kommer fra en selv.

Enhver fornuftig firewallkonfiguation forbyder adresser med source sat
til sit eget netværk at komme ind på et eksternt interface.
Når du f.eks. på dit eksterne interface blokerer for de typiske private
RFC1918 netværk så skal du også huske at blokere for adresser der kommer
fra det netværk der nås via det interne interface at komme ind på det
eksterne.
Det kaldes anti-spoofing.

--
Hroi Sigurdsson

---

"Poul-Erik Andreasen" <poulerik@pea.dk> wrote in message
news:3B696E7E.8A340960@pea.dk...
> Henrik Holm Jensen wrote:
> >
> > Har lige sat en Mandrake8.0 Box op, hvordan kan man overvåge åbne og
lukkede
> > porte, samt evt. pakketyper på portene.
>
> Selve filtreringen kan ske ved netfilter der er Linux 2,4 kernes
> firewall. Den betjenes med komandoen iptables
>
> Du kan se hvilke porte du har åbne med
>
> nmap
>
> Der findes også en X-frontend til den.
>
> >
> > Findes der programmer som kan dedekterer portscanninger?
>
> Ja der findes portsentry
>
> > Findes der analysevæktøjer til apache's/ProFTPD's logfiler, som er
> > grafiske(kører under X)?
>
> Jeg ved det ikke måske Webmin kan noget
>
> > Henrik
> > Er ved at vågne til en ny og (måske) bedre verden
> Et godt råd, du skal ikke være bange for teksfiler og komandobaserede
> værktøjer
> X er godt til mange ting men når vi taler om configuration og sikkerhed,
> bidrager de stort set kun med falsk tryghed.
>


Enig, grafiske værktøjer hjælper mig bare med at få et bedre overblik, når
ting skal være hardcore er der kun en ting som dur: komandoer og flade
config filer

--
Henrik