iptables conntrack Problem (War: Webserver Kr�scht)

Frank Matthiess frankm at lug-owl.de
Mo Apr 9 19:44:31 CEST 2007


* Support TEAM, Martin B�kenkamp <connectnet at web.de> [2007-04-09 10:36]:
> >>> Anmerkung: Warum vertraust Du einem Firewallscript das Du nicht
> >>> ansatzweise verstehst?
> >>
> >>Das ist eine sehr gute Frage!
> 
> Ich Frage mich gerade, wie ihr zu dieser Frage kommt... War meine Frage  
> denn so bl�d gestellt? ;-)

Nein. Aber Du hast meine Frage nicht verstanden.
Wenn Du die Firewall aus Sicherheitsgr�nden nutzt, dann solltest Du auch
erkl�ren k�nnen welche Auswirkungen die Regeln der Firewall haben. Wenn
nicht kannst Du nicht behaupten ein ansatzweise sicheres System zu
haben. Du kannst noch nichmal bewerten ob das Script von der Webseite
ohne Fehler generiert wurde. Bist Du nun sichermn mit dem Regelsatz oder
nicht?

Ich denke jetzt verstehst Du meine Frage.

> Portsentry habe ich nach diesem Maunual installiert:  
> http://www.rob-schulze.de/informatik/tutorials/portsentry/
> Der Fehler, der den Server "kr�schen" lie�, liegt m.E. darin, dass ich im  
> Filtermanager von Portsentry den "Block_timeout" f�r ein "$IPTABLES_CMD -D  
> INPUT -s $Target -j DROP" zu hoch eingestellt hatte (100 Minuten). Somit  
> haben sich zu viele Eintr�ge angesammelt und den Speicher �berflutet. 10  
> Minuten blocken d�rften gen�gen.

Ich verstehe hier nur Bahnhof. Das kommt mir so vor wie der Schwank mit
"Die Kuh Elsa ist tot". Mit jedem Postiong kommen immer weiter Details
die vorher nicht benannt waren in Spiel. So kann ich Dir nicht helfen.

Ich versuch trotzdem.

Ich denke Portsentry legt mit einem Script iptables Regeln dynamisch an.
Wenn es sich um -j Dop Regeln handelt, dann kann damit nicht der
contrack �berlaufen, wenigsten w�rde mich sehr wundern.

Kannst Du der vollst�ndigkeithalber mal die Ausgabe von "iptables-save"
von Deiner aktiven Firewall posten?

Frank.
-- 
Frank Matthie�

"...die �blichen three letter Organisationen: NSA, CIA, SAP und CCC....."
 -- R�diger Weis, 21C3
-------------- n�chster Teil --------------
Ein Dateianhang mit Bin�rdaten wurde abgetrennt...
Dateiname   : nicht verf�gbar
Dateityp    : application/pgp-signature
Dateigr��e  : 189 bytes
Beschreibung: Digital signature
URL         : http://lug-owl.de/pipermail/lugrav/attachments/20070409/7538ce73/attachment.pgp