Firewall: no-ip doorlaten ipv ipnummer?

[fdm]

Hallo,

 

Ik kan mijn Linuxdecoder van een andere plaats dan van thuis uit bedienen via internet. De bekende poorten staan open. Dit is erg makkelijk als ik op vakantie ben.

Nooit heb ik problemen gehad, maar de laatste tijd heb ik last van blokkages en merk dat het hackers zijn die proberen in te breken

.Ik wil nu een Firewall installeren, maar die laten meestal een IPnummer naar een poort toe. Kan ik de firewall zo instellen dat ik een no-ipnaam kan toelaten ipv een IPnummer?

 

Kunnen jullie mij een goede firewall aanraden?

 

Alvast bedankt.

[DennisB]

Waar wil je die firewall dan op installeren?? Router, PC, Hardware oplossing?? Je vraag is wel een beetje vaag. De meest simpele oplossing is voor dit probleem even je poortnummer te wijzigen naar een ander nummer en dan een goede NAT te maken naar je LinuxOntvanger.

 

Trouwens, blockades waar heb je die dan? En wat moet ik me daar bij voorstellen? Dichtgeslagen firewall?

 

 

[fdm]

Ik heb geen firewall draaien, omdat op de 2 adressen waar ik vaak buitenshuis ben er een wisselend ipnummer is. Een paar jaar is dit goed gegaan Nu de laatste week heb ik het idee dat er een hacker actief is. Ik ben niet gek: mijn login en paswoord zijn natuurlijk niet root/dreambox. Als ik dus een firewall installeer, moet ik ook opgeven welk vast ipnummer wordt doorgelaten naar mijn decoder. Vaste IPnummers kosten bij mijn provider hier in België 34€ per maand per adres. Dit vind ik onwijs veel voor even in de centrale op een knop te drukken.Op mijn decoder draait CCcam. Deze liep tot een week geleden zonder problemen. Nu blokkeert deze 2 à 3 keer per dag. Heb afwisselend 2.0.11, 2.1.4 en 2.2.1 getest: zelfde problemen.

Ik kan in het logsysteem zien dat er vaak een poging gedaan wordt om in te loggen. Ik denk dat door het vele proberen dit de Cccam blokkeert.

[Lamko]

Ben het met DennisB eens op een lekkere onbekende poort cccam draaien zit je ook niet met de firewall.

[fdm]

er zijn scanprogramma's die in een paar tellen jouw ipnummer scannen en tonen welke poorten er worden gebruikt...

 

[Lamko]

Dat weet ik maar voor een hele range ip adressen wordt het al anders en als je alle 65000 poorten bij langs wilt gaan al helemaal. Anders kun je nog aan port-knock doen. Het is net wat jezelf voldoende vindt.

[fdm]

En simpel MACadressen filteren, zou dat een oplossing zijn, niet draadloos, maar via internet?

[Lamko]

Dat werkt niet omdat je dan alleen het mac adres ziet van de router waar je pakketje is weggekomen.

[labyrint]

Inloggen op een decoder of server vanaf twee plekken moet geen probleem zijn. Dus de een gooit de ander er niet uit.

 

Als jij jij problemen hebt met CCcam en denkt dat jij last hebt van een hacker omdat er wat vastloopt heb jij dus een poort los staan over WAN. Zet alle poorten dicht en je bent er af.

 

Stel jij wil een poort ( WAN ) open houden om welke reden dan ook. Het maakt niet uit of jij deze verandert, de " hacker " heeft deze binnen een minuut gevonden. Jij zal jou hostnaam of jou ip ook moeten veranderen.

 

Je zou het ip kunnen achterhalen van de vreemde inlogger en deze blokkeren in jou router als deze dat ondersteund. Anders een firewall installeren en dan daar het ip in blokkeren. Helaas is dit maar een tijdelijke oplossing omdat een beetje hacker zijn ip zo verandert heeft. EN zelfs daar hoef je geen hacker voor te zijn.

 

Als er een firewall is die op hostnaam werkt ipv ip dan hoor ik dat graag. Ik dacht dat de meesten op ip tables werken.

 

Er zijn mensen die niet anders doen dan CCcam servers proberen te hacken om zo een graantje mee te pikken zeg maar. Het is dus wel verstandig om een goede firewall te gebruiken.

 

De beste oplossing is gewoon om alle poorten dicht te zetten en het wachtwoord waarmee jij inlogt op de server zo lang mogelijk te maken met zoveel mogelijk tekens erin.

 

Suc6.

 

 

 

 

 

[DennisB]

De webtoegang van je decoder en de toegang tot CCcam draaien separaat van elkaar op verschillende poorten. Als je CCcam dus vast loopt betekend dat waarschijnlijk dat je poort van je router naar de decoder poort waar CCcam op draait openstaat.(WAN) Als er een attack zou plaatsvinden op de poort waar webtoegang is kan ik uit ervaring spreken dat de algehele performance van je decoder om te huilen is. Het lijkt er inderdaad op dat je CCcam wordt aangevallen.

 

Heb je misschien een router waarin logging mogelijk is? Zo ja, bekijk dat log eens goed en misschien zie je het IP adres.

 

Het individueel blokken van IP adressen heeft zoals al eerder genoemd is door de rest hier weinig zin. Daarnaast is een IP adres makkelijk te releasen voor een nieuwe. Een hacker die bewust op zoek is naar jouw CCcam zal niet zo snel te vangen zijn. NMAPje draaien naar jouw IP of DNS en binnen twee uur heeft hij output gegeven waar je lekken zijn.

 

Oplossingen.

 

Een nieuwe DNS

Een nieuw IP adres

Andere poorten

Range IP adressen blokken mbv IPTables

En goed gebruik maken (Als je de mogelijkheid hebt) van IP tables. Klik op de link voor uitleg IPTables

 

Een leuke oplossing om mee te stoeien zijn de routers waar OpenWRT op gedraaid kan worden.

 

 

[Garagebox]

Origineel bericht van: DennisB

Range IP adressen blokken mbv IPTables

Ik zou dit zelfs omdraaien dus alles droppen en alleen de ip rangen toegang verlenen van de 2 vaste adressen(verblijfplaatsen) met dynamic ip's.

Dus de ranges van de providers waar je gebruikt van maakt doorlaten en de rest droppen.

[MagicOnline]

Of je stelt gewoon je firewall goed in.

 

Voor CCcam:

iptables -I INPUT -p tcp -m tcp -s voorbeeld.no-ip.com --dport 1200 -j ACCEPT

iptables -I INPUT -p tcp -m tcp -s voorbeeld2.no-ip.com --dport 1200 -j ACCEPT

iptables -I INPUT -p tcp -m tcp -s etcetc.no-ip.com --dport 1200 -j ACCEPT

iptables -I INPUT -p tcp -m tcp -s 0.0.0.0/0 --dport 1200 -j DROP

 

Voor SSH:

iptables -I INPUT -p tcp -m tcp -s voorbeeld.no-ip.com --dport 22 -j ACCEPT

iptables -I INPUT -p tcp -m tcp -s 0.0.0.0/0 --dport 22 -j DROP

 

Op die manier hebben alleen mensen met het juiste IP/No-IP toegang en de rest word gewoon genegeerd.

 

Aangezien dns adressen wel eens veranderen van IP stel je ook een cronjob in zodat je firewall ieder uur herstart zodat hij meteen weer het goede IP heeft bij het dns adres.

 

Die cronjob ziet er dan ongeveer zo uit:

0 * * * * /etc/init.d/iptables restart

 

 

Abacadaba >> koop een router

 

[labyrint]

Origineel bericht van: MagicOnline

Of je stelt gewoon je firewall goed in.

Voor CCcam:
iptables -I INPUT -p tcp -m tcp -s voorbeeld.no-ip.com --dport 1200 -j ACCEPT
iptables -I INPUT -p tcp -m tcp -s voorbeeld2.no-ip.com --dport 1200 -j ACCEPT
iptables -I INPUT -p tcp -m tcp -s etcetc.no-ip.com --dport 1200 -j ACCEPT
iptables -I INPUT -p tcp -m tcp -s 0.0.0.0/0 --dport 1200 -j DROP

Voor SSH:
iptables -I INPUT -p tcp -m tcp -s voorbeeld.no-ip.com --dport 22 -j ACCEPT
iptables -I INPUT -p tcp -m tcp -s 0.0.0.0/0 --dport 22 -j DROP

Op die manier hebben alleen mensen met het juiste IP/No-IP toegang en de rest word gewoon genegeerd.

Aangezien dns adressen wel eens veranderen van IP stel je ook een cronjob in zodat je firewall ieder uur herstart zodat hij meteen weer het goede IP heeft bij het dns adres.

Die cronjob ziet er dan ongeveer zo uit:
0 * * * * /etc/init.d/iptables restart


Abacadaba >> koop een router

Hallo MagicOnline

Wat bedoel jij met de firewall opnieuw starten zodat deze ziet dat de juiste ip bij de dns naam hoort. Als jij een dns naam invult moet dat toch genoeg zijn of zie ik dat verkeerd.

En wat houdt deze lijn in.

iptables -I INPUT -p tcp -m tcp -s 0.0.0.0/0 --dport 1200 -j DROP

Is hier de mogelijkheid om een ip range te blokken op poort 1200

[NINjak]

Even zo uit me hoofd (het is -A niet -I). EDIT: al kan -I natuurlijk ook... gewoon teveel opties/mogelijkheden met dat iptables

 

Citaat:

iptables -I INPUT -p tcp -m tcp -s 0.0.0.0/0 --dport 1200 -j DROP

Je heb zeker niet door dat je met deze regel het verbinden vanaf je lokale netwerk ook niet meer toe staat Wel erg veilig maar ik denk niet de bedoeling

 

Je kan er beter "-s ! 192.168.1.0/24" van maken (wel even naar het ip van het lokale netwerk aanpassen) dan kan je er lokaal nog op komen. Het "!" betekent nl. "behalve" dus in dit geval "alles behavle de 192.168.1.x reeks.

 

Tevens om (alle) andere tcp poorten dicht te gooien kan je dit ook in 1x doen zolang je het maar NA de poorten doet die je gericht open zet.

Citaat:

iptables -A INPUT -p tcp -s ! 192.168.1.0/24 -j DROP

 

[MagicOnline]

Citaat:

Hallo MagicOnline

Wat bedoel jij met de firewall opnieuw starten zodat deze ziet dat de juiste ip bij de dns naam hoort. Als jij een dns naam invult moet dat toch genoeg zijn of zie ik dat verkeerd.

En wat houdt deze lijn in.

iptables -I INPUT -p tcp -m tcp -s 0.0.0.0/0 --dport 1200 -j DROP

Is hier de mogelijkheid om een ip range te blokken op poort 1200

Als je de firewall start dan kijkt iptables welk IP er aan je NO-IP adres gekoppeld is bijvoorbeeld ( voorbeeld.no-ip.com = 212.121.121.121 )

Maar als je ergens anders inlogt (ander IP) dan zal iptables je niet toelaten ondanks dat je voorbeeld.no-ip.com gebruikt omdat je IP dan byv. 211.1.1.56 is.

Op het moment dat je via cron je firewall herstart zal hij ieder uur je NO-IP adres updaten, wel zo handig als je niet thuis bent en je IP steeds wisselt en je moet via SSH o.i.d. iets doen op je server.

Ik gebruik zelf "iptables -I INPUT -p tcp -m tcp -s 0.0.0.0/0 --dport 1200 -j DROP" omdat ik 2 providers heb en zo mijn server/dns kan testen op een correcte werking.

Ik had je beter het voorbeeld kunnen zoals de post hierboven.
Maar om op je vraag terug te komen: met die regel blokkeer je al het verkeer wat niet "accept" is op poort 12000.
Alleen de accept regels worden dus doorgelaten, je hoeft dan dus verder niets te blokkeren.

je kan dit ook gebruiken voor andere processen zoals SSH, je moet dan alleen even de poort veranderen naar 22.