← Back to team overview

sslug-teknik team mailing list archive

  1. sslug-teknik team
  2. Mailing list archive
  3. Message #33260

Re: installering af ip_masq_icq

  Thread PreviousDate PreviousThread Next 
"Henrik Størner" wrote:
> 
> In <3A8308FC.1FD805B7@xxxxxxxxxxxxxxxxx> Anders M <andefeldt@xxxxxxxxxxxxxxxxx> writes:

> >ip_masq_icq: LOGIN 20850445@192.168.5.1:4000<-60202/1034, protocol v5
> >Packet log: input - eth1 PROTO=17 205.188.153.99:4000
> >192.168.224.5:61020 L=49 S=0x00 I=46277 F=0x4000 T=236 (#18)
> 
> OK. Jeg kender intet til ICQ (utroligt, men sandt) - men det
> ser ud som om ICQ serveren sender pakker med source-port 4000,
> og destination porten i det masqueradede port område (over 61000).

Yes. For kort tid siden skrev jeg på sikkerhed i 'Ipchains, icq og udp':

| Jeg kan se af et tcpdump og regel logning at icq servere bruger port
| 4000, mens klienter bruger tilfældige high ports, samt at en
| bidirektionel regel åbenbart er nødvendig.
| Forskellig online docs fortæller at der bruges udp mellem klient og
| server, mens klient-klient bruger tcp, hvilket i min opsætning klares
| med en regel der tillader indgående tcp som ikke forsøger en
connection
| (! -y).

Sjovt nok har ingen svaret på icq (eller dns query-source port, se
sikkerhed 'Ipchains, dns og udp') spørgsmål på nogen af de lister og
news jeg har skrevet til.
Der må da være ganske mange som enten ønsker at tillade icq, eller er
tvunget til det fordi firmaet ønsker servicen af praktiske årsager.

 
> Så hvis du tilføjer reglen
> 
>   ipchains -A input -p udp -s 0/0 4000 -d 0/0 61000:65095 -j ACCEPT

Hmm, den regel virker ikke for mig. Prøvede ozze bidirect med -b, nogo.


Pt. bruger jeg:

# Set local port range for listeners:
    echo "56000 65096" >/proc/sys/net/ipv4/ip_local_port_range

# Allow incoming TCP not trying to setup a connection (no SYN):
    ipchains -A input -p tcp -s 0/0 \! -y -j ACCEPT

# Allow DNS replies to queries:
    ipchains -A input -p udp -s 0/0 domain -d 0/0 56000:65096 -j ACCEPT
    ipchains -A input -p tcp -s 0/0 domain -d 0/0 56000:65096 -j ACCEPT

# Allow ICQ services on port 4000:
    ipchains -A input -p udp -d http://login.icq.com/0 4000 -b -j ACCEPT


Ditto med IRC. Bruger det ikke selv, så jeg har ikke fået lavet regler
til det endnu, men skal jo kunne sætte regler op for det. Ideer???

Så vidt jeg har læst mig til, afviser mange IRC servere hvis ikke identd
kører. Har ikke fundet meget om porte, udover ircs på 994 tcp/udp.
-- 
Regards,
              Mogens Valentin
    Networking - Security - Programming
  Linux configuration and troubleshooting
http://www.danbbs.dk/~monz - monz@xxxxxxxxx

Follow ups

References

  Thread PreviousDate PreviousThread Next