Ubuntu 9.04, reclamações do Firestarter mesmo atrás do roteador NAT


0

Estou atrás de um roteador. Na configuração do roteador, eu bloqueei:

  • todos (entrada e saída) UDP
  • entrada ICMP

Iptables locais são configurados com o assistente do Firestarter:

  • bloquear todas as conexões de entrada
  • permitir todas as conexões de saída
  • filtro ICMP exceto ping
  • bloquear transmissão de rede externa

Agora, Firestarter ainda reclamações sobre conexões TCP e ICMP bloqueadas ao meu interno IP (192.168.0. *), Em portas diferentes. Não há reclamações de UDP, mas apenas porque o roteador bloqueia todas elas. Anteriormente, com o UDP-s de entrada (mas não de saída) bloqueado, eu também estava obtendo toneladas de conexões UDP bloqueadas (especialmente com o lançamento do Skype).

Eu não entendo como é possível que as reclamações do Firestarter sobre conexões TCP bloqueadas. Meu entendimento é que por trás do roteador não posso ser acessado do mundo externo (devido à conversão NAT), e o roteador passa apenas os pacotes de entrada que correspondem aos pacotes de saída. Agora, o iptables deve funcionar da mesma maneira - ele deve aceitar pacotes de resposta de entrada que correspondam aos de saída antigos. Portanto, se o pacote TCP conseguir passar do meu computador para o servidor externo, a resposta nunca deverá ser bloqueada.

Além disso, eu não entendo como os pacotes ICMP podem passar pelo roteador e travar no meu iptables - todos devem estar bloqueados no roteador (note que todos os ICMPs que chegam ao meu iptables estão na porta 80, talvez uma pista)

Alguém poderia me apontar na direção certa ou sobre como corrigir esses problemas (se houver algum, talvez eu esteja desinformado).

Respostas:


0

O ICMP é necessário para operações de IP adequadas, não bloqueá-las, embora você possa bloquear solicitações de eco ICMP. Não há porta ICMP 80, mas você provavelmente está recebendo mensagens inacessíveis para vários sites na porta 80. As mensagens ICMP não irão travar seus iptables.

Você deve ter o ntp em execução e isso exigirá a porta 123 aberta no UDP. O DNS na porta 53 também deve estar aberto em UDP e TCP.

Se você estiver executando o Skype, você deve permitir UDP de saída e TCP nas portas efêmeras (32768 a 61000) no Ubuntu, bem como algumas outras. Você também precisará permitir a entrada de UPD e TCP na porta que o Skype está usando. Veja meu post em Firewall do Skype .

Você deve esperar algum tráfego em várias portas dos hosts dentro do seu firewall. Você também receberá pacotes da Internet se estiver no endereço IP designado como DMZ em seu roteador / firewall. O firewall do roteador também deve encaminhar pacotes em portas relacionadas para protocolos como FTP.


Isso não responde muito bem a minha pergunta, mas obrigado mesmo assim. A maior parte do que estou perguntando é como pode ser que o Firestarter reclama de conexões que devem ser descartadas pelo meu roteador.
Tomasz Zieliński

Se o seu endereço IP estiver atribuído à DMZ, é improvável que o roteador bloqueie qualquer coisa.
BillThor

Dependendo do roteador e sua configuração, você poderá ver o tráfego dele. Se os endereços de origem e de destino forem os mesmos para os primeiros três octetos, eles não vêm da Internet.
BillThor

DMZ está desativado. Então você diz que o próprio roteador pode causar algum tráfego? Existe alguma razão pela qual, por ex. O Skype faz com que essas conexões ocorram com muito mais frequência do que quando o Skype está desativado?
Tomasz Zieliński

Vários serviços, como compartilhamentos do Windows, protocolos de roteamento e outros, usam transmissões periódicas para anunciar sua presença e descobrir outros computadores. Se algum deles estiver em execução no seu roteador, é provável que você veja o tráfego proveniente do roteador. Se você usar DHCP, seu computador iniciará periodicamente uma troca com o roteador. O Skype é muito detalhado. Veja meu post em systemajik.com/blog/firewalling-google-chat-and-skype
BillThor
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.