Portscann nach Firmwareupdate |
|
Vimes
Super Moderator
Dabei seit: 27.03.2005
Beiträge: 1.316
Level: 49 [?]
Erfahrungspunkte: 9.487.928
Nächster Level: 10.000.000
|
|
RE: Portscann nach Firmwareupdate |
|
Zitat: |
Original von deoroller
"Ping" Sehr gut, Ihr System antwortet nicht auf Ping Requests
Was soll ich davon halten? |
|
Nichts. Der übliche Blödsinn. Einen Ping zu filtern, ist absolut sinnlos. Im Gegenteil, im Rahmen einer Netzwerkdiagnose kann man sich damit ganz gewaltig in die Füße schießen.
Es gibt bestimmte ICMP-Typen, die man nicht unbedingt durchlassen möchte (ich bin aber nach mehr als einem halben Liter hervorragender Riesling Spätlese zu faul, das rauszusuchen), aber so pauschal ist das Filtern von Pings Blödsinn und zeigt nur, daß der Betreiber der Seite
a) keine Ahnung hat oder
b) auf der allgemeinen Welle mitschwimmt.
MfG
Vimes
__________________ 1. Kor 3,11: "Einen anderen Grund kann niemand legen als den, der gelegt ist, welcher ist Jesus Christus."
gnupg-Key-ID: 7C6A8303; Fingerprint: 9D29 C76C 4C7E 4A5C 8915 8686 49DE 7906 7C6A 8303
|
|
28.10.2007 21:46 |
|
|
| |
|
deoroller
Routinier
Dabei seit: 30.03.2005
Beiträge: 487
Level: 43 [?]
Erfahrungspunkte: 3.509.630
Nächster Level: 3.609.430
Themenstarter
|
|
|
29.10.2007 22:08 |
|
|
| |
|
Vimes
Super Moderator
Dabei seit: 27.03.2005
Beiträge: 1.316
Level: 49 [?]
Erfahrungspunkte: 9.487.928
Nächster Level: 10.000.000
|
|
Das gehört auch so. Was soll dieser Rotz, ICMP-Pakete zu verwerfen? Es gibt tatsächlich ICMP-Pakete, die man nicht reinlassen bzw. durchreichen möchte, aber der simple Ping (der hier gemeint sein dürfte) gehört definitiv nicht dazu. Der ist absolut harmlos, für eine erste Analyse bei Netzwerkproblemen nützlich und nur Leute, die keine Ahnung haben, bauen eine Firmware, die per Default so etwas einfach schluckt.
MfG
Vimes
__________________ 1. Kor 3,11: "Einen anderen Grund kann niemand legen als den, der gelegt ist, welcher ist Jesus Christus."
gnupg-Key-ID: 7C6A8303; Fingerprint: 9D29 C76C 4C7E 4A5C 8915 8686 49DE 7906 7C6A 8303
|
|
04.03.2008 22:02 |
|
|
| |
|
Vimes
Super Moderator
Dabei seit: 27.03.2005
Beiträge: 1.316
Level: 49 [?]
Erfahrungspunkte: 9.487.928
Nächster Level: 10.000.000
|
|
Zitat: |
Original von deoroller
iptables ist ja bereits im Kernel |
|
Der Fritz!Box? Prinzipiell gibt es das im Linux-Kernel, ja ...
Zitat: |
und daran kann sich keine Verbindung vorbei mogeln |
|
Wenn die Regeln vernünftig sind, ist es zumindest schwierig. Wenn man connection tracking betreiben möchte, das ist ziemlich leicht DOS-bar. Für Heimanwender ist das kein Problem, für Firmenanwender kann das eklig werden.
Zitat: |
aber nur die Profis trauen sich daran.
|
|
Paketfilter sollten generell nur Leute mit Ahnung konfigurieren.
Im übrigen verstehe ich die Aussage "der SIP-Port war offen" nicht. Lauscht bei Dir auf dem Port ein Dienst? Nein? Dann ist da auch kein "Port" offen. Falls Du das mit einem Portscanner geprüft hast, die liefern häufig kuriose Ergebnisse.
Nochmal: ein Port ist genau dann "offen", wenn ein Dienst läuft, der unter dieser Adressnummer einen Dienst anbietet und dieser Dienst von außen, d.h. WAN-seitig, erreichbar ist. Ansonsten gibt es diese Adressnummer nicht und der Port ist daher "zu", d.h. non-existent.
Da wird leider häufig (auch von Firewall-Anbietern) viel Mist erzählt. Und die Scanner, die häufig etwas von "offenen Ports" faseln, machen es auch nicht besser.
Selbst wenn (und das ist ein großes "wenn") die Fritz!Box Pakete an den SIP-Port (z.B. 5060) einfach routet (wohin eigentlich!), dann verwirft spätestens das Ziel des Routings die Pakete kommentarlos, wenn dort kein SIP läuft. Aus die Maus. Das können IP-Stacks schon ganz, ganz lange, dafür brauchen sie keine Paketfilter.
MfG
Vimes
__________________ 1. Kor 3,11: "Einen anderen Grund kann niemand legen als den, der gelegt ist, welcher ist Jesus Christus."
gnupg-Key-ID: 7C6A8303; Fingerprint: 9D29 C76C 4C7E 4A5C 8915 8686 49DE 7906 7C6A 8303
|
|
23.07.2009 23:22 |
|
|
| |
|