tcpdump Interface Problem - iptables mit Freetz lauffähig

[starmagoo]

Hallo Leute,

kurze Frage. Welches Interface auf der FB ist denn am besten geeignet um Traffic von und nach außen per tcpdump mitzuschneiden? Ich habe festgestellt das auf wan, dsl, und cpmac0 päckchen ankommen. Allerdings kann ich nur auf dsl Filter wie "not port 22" anwenden. Auf den anderen beiden ignoriert er das. Desweiteren habe ich versucht über einen Ping von außen herauszufinden welches interface angesprochen wird.

tcpdump -ni dsl icmp

und es passiert nichts. Das habe ich auch mit Port wan und cpmac0 versucht. Auch kein Erfolg. Stelle ich mich einfach zu Blöd an???

Ich nutze die FB als Einwahl Router. Also ATA Modus...

Jemand nen Tipp? please...

 

[cuma]

Du könntest mit VirtualIP dir ein zusätzliches Interface anlegen (Reboot nicht vergessen) , und dieses als "exposed Host" angeben. Dann sollte dort alles ankommen

 

[olistudent]

Schonmal lan als Interface probiert? Oder eth0?

MfG Oliver

 

[starmagoo]

Nabend,

ich hab noch etwas experimentiert und durch die verschiedenen Interface's auch das gefunden was ich suchte. Mir ging es hauptsächlich um die WLAN verbindungen und das was über wifi0 reinkommt reicht mir erstmal zum mitschnibbeln...

Nachdem sich mein verdacht bestätigt hat (ich biete mein Internet höfflich anderen Personen bei mir im Haus an) und mein WLAN für dieverse P2P Plattformen Missbraucht wird würde ich das gern unterbinden. Gehört zwar nicht zum Thema aber kann man das ganz dezent über die AVM Firewall deaktivieren? Vermutlich nicht aufgrund der verschiedenen ports oder? Applikationen erkennt die Firewall wohl nicht?

 

[Silent-Tears]

Wie wäre es damit, die Leute dezent darauf hinzuweisen, dass du dies nicht wünscht? Und wenn sie dann dennoch weiterladen, sie einfach aus dem Netz schmeissen? Oder erst einmal aus dem Netz schmeissen und dann warten, bis jemand auftaucht und sich beschwert?

 

[starmagoo]

Das wäre der radikale weg. Ich spiele allerdings gern meine Trümpfe aus.

 

[cuma]

Man könnte mit iptables nur noch Ports kleiner 1024 weiterleiten. Das würde p2p fast unmöglich machen

 

[starmagoo]

Das würde ja reichen. Hauptsache 80, 443, icq, msn u ganze andere kram läuft...

EDIT: Wie sieht es mit IPtables und den ressourcen aus?

 

[cando]

Iptables funktioniert auf der 7270 recht gut.

Mit den ICQ, MSN, VoIP, FTP & Co ist das so eine Sache, die nutzen auch zum Teil dynamische Ports, meist aber UDP. Mit iptables und conntrack kann man recht gut Regeln dafür definieren. Man muss sich nur die Mühe machen und erst mal analysieren, was alles gebraucht wird und was zu blocken wäre.

Die AVM Firewall kann man bedingt auch dafür hernehmen, dynamische UPnP Config vielleicht abschalten, damit die Rechner keine Pinholes aufmachen können - NAT Port Weiterleitungen auch mal überprüfen und die Default Regeln auf alles sperren setzen, für alles was nicht explizit per Regel erlaubt wird. Dann nach und nach die benötigten Ports für dns, ntp, http, https, ftp etc. öffnen, bis alles so läuft, wie es soll.

 

[hermann72pb]

Und zu tcpdump gibt es doch WebIF von AVM. Such bitte hier im Forum danach. Oder verwechsle ich da was? Es gibt auf jeden Fall ein WebIF von AVM mit dem du dein Netzverkehr loggen kannst. Auf diesem WebIF kannst du bequem die vorhandenen Interfaces aus einer Liste wählen. Man sagt dann nur per Button im Browser "log starten" und alles wird per Browser in eine Datei gespeichert. Die Datei kannst du dann mit Wireshalk (oder irgendwie ähnlich) öffnen und sich anschauen.

MfG

 

[cando]

Hallo Hermann,

Es gibt ein tcpdump mit WebIf von AVM? Wo finde ich Details, wie man den Verkehr vernünftig und dauerhaft loggen kann? Ich mache das momentan mit LOG Regeln von iptables, leider geht das bei der 7270 nur auf der Konsole. Ich muss die immer mitlaufen lassen und die Ausgaben in eine Datei mitschneiden.

Ein Traffic-Log Web Interface ist mir von AVM bislang nicht untergekommen.

Viele Grüße

cando

 

[kommu]

Moin cando,

ich denke da ist die Url gemeint: Capture


gruss

kommu

 

[cando]

Danke, die Funktion war mir bislang nicht bekannt.

 

[sf3978]

Ich mache das momentan mit LOG Regeln von iptables, leider geht das bei der 7270 nur auf der Konsole. Ich muss die immer mitlaufen lassen und die Ausgaben in eine Datei mitschneiden.

Mit dem trunk und Syslogd kann kann man auch in eine Datei, z. B. auf dem USB-Stick umleiten.

 

[cando]

ist mir bekannt, funktioniert aber nur wenn man AVM_PRINTK abschaltet, was DECT Telefonie Betrieb aushebelt.

(echo STD_PRINTK > /dev/debug)

 

[cuma]

funktioniert aber nur wenn man AVM_PRINTK abschaltet, was DECT Telefonie Betrieb aushebelt.

Falsch. Mit dem Patch nicht nötig und alles funktioniert. Aber das hatten wir in einem anderem Thread schonmal...

 

[sf3978]

ich hab noch etwas experimentiert und durch die verschiedenen Interface's auch das gefunden was ich suchte.

@starmagoo:

Kannst Du jetzt den Ping auf die FB, mit tcpdump loggen?
Ich habe es mit iptables (alle Module aktiviert) versucht, es funktioniert aber nicht (-t mangle -I PREROUTING 1 -m limit --limit 10/h -m state --state NEW -j LOG).
Das was ich in der syslog, nach einem Ping oder Portscan (nur xmas-Scan wird zusätzlich gelogt; -I INPUT 1 -p tcp --tcp-flags ALL FIN,URG,PSH -j LOG --log-prefix Port-scan(xmas):) auf die FB finde, ist Folgendes:

..........................................
May 10 14:30:33 fritz user.warn kernel:
May 10 14:30:33 fritz user.warn kernel: Badness in local_bh_enable at kernel/softirq.c:149
May 10 14:30:33 fritz user.warn kernel: Call Trace:
May 10 14:30:33 fritz user.warn kernel:  [<9402aca0>] local_bh_enable+0x4c/0x98
May 10 14:30:33 fritz user.warn kernel:  [<c00974d0>] destroy_conntrack+0x114/0x170 [ip_conntrack]
May 10 14:30:33 fritz user.warn kernel:  [<9411f19c>] sock_wfree+0x48/0x8c
May 10 14:30:33 fritz user.warn kernel:  [<94043a20>] __do_IRQ+0xf0/0x150
May 10 14:30:33 fritz user.warn kernel:  [<94121864>] __kfree_skb+0x140/0x15c
May 10 14:30:33 fritz user.warn kernel:  [<c03d9fb4>] TxPort_freeWbuf+0x30/0x44 [tiap]
May 10 14:30:33 fritz user.warn kernel:  [<c03d9fb4>] TxPort_freeWbuf+0x30/0x44 [tiap]
May 10 14:30:33 fritz user.warn kernel:  [<c03d9c08>] TxComp_process+0x2a4/0x384 [tiap]
May 10 14:30:33 fritz user.warn kernel:  [<94000f68>] mips_irq_check_hw_interrupt_0+0x10/0x18
May 10 14:30:33 fritz user.warn kernel:  [<c03f3fd8>] main_system_process_event+0x44c/0x8d8 [tiap]
May 10 14:30:33 fritz user.warn kernel:  [<c03f3b70>] wdrv_DDA_tx_setEvent+0x130/0x14c [tiap]
May 10 14:30:33 fritz user.warn kernel:  [<c03e4600>] whal_acxIntrHandler+0x160/0x2bc [tiap]
May 10 14:30:33 fritz user.warn kernel:  [<9402ac54>] local_bh_enable+0x0/0x98
May 10 14:30:33 fritz user.warn kernel:  [<9402b048>] tasklet_action+0x94/0xe8
May 10 14:30:33 fritz user.warn kernel:  [<940438bc>] handle_IRQ_event+0x64/0xd8
May 10 14:30:33 fritz user.warn kernel:  [<940438a8>] handle_IRQ_event+0x50/0xd8
May 10 14:30:33 fritz user.warn kernel:  [<9402ab3c>] __do_softirq+0x6c/0xf8
May 10 14:30:33 fritz user.warn kernel:  [<9402ac20>] do_softirq+0x58/0x8c
May 10 14:30:33 fritz user.warn kernel:  [<94001400>] ohio_hw0_irqdispatch+0xb0/0xf8
May 10 14:30:33 fritz user.warn kernel:  [<94205000>] _sinittext+0x0/0x78
May 10 14:30:33 fritz user.warn kernel:  [<94000f68>] mips_irq_check_hw_interrupt_0+0x10/0x18
May 10 14:30:33 fritz user.warn kernel:  [<94205000>] _sinittext+0x0/0x78
May 10 14:30:33 fritz user.warn kernel:  [<94000f68>] mips_irq_check_hw_interrupt_0+0x10/0x18
May 10 14:30:33 fritz user.warn kernel:  [<94205000>] _sinittext+0x0/0x78
May 10 14:30:33 fritz user.warn kernel:  [<9402ac54>] local_bh_enable+0x0/0x98
May 10 14:30:33 fritz user.warn kernel:  [<9419ed74>] schedule+0x84/0x9b0
May 10 14:30:33 fritz user.warn kernel:  [<94007c70>] cpu_idle+0x38/0x50
May 10 14:30:33 fritz user.warn kernel:  [<94005d74>] r4k_wait_idle+0x6c/0x3e0
May 10 14:30:33 fritz user.warn kernel:  [<94205000>] _sinittext+0x0/0x78
May 10 14:30:33 fritz user.warn kernel:  [<94205000>] _sinittext+0x0/0x78
May 10 14:30:33 fritz user.warn kernel:  [<94007c70>] cpu_idle+0x38/0x50
May 10 14:30:33 fritz user.warn kernel:  [<94205760>] start_kernel+0x1ec/0x1fc
May 10 14:30:33 fritz user.warn kernel:  [<94205758>] start_kernel+0x1e4/0x1fc
May 10 14:30:33 fritz user.warn kernel:  [<94205128>] unknown_bootoption+0x0/0x2d4
..........................................

 

[RalfFriedl]

Ich würde das für einen Fehler im tiap Modul halten.

 

[starmagoo]

Hallo...

@sf3978 Das habe ich nicht mehr probiert da ich mit dem was ich suchte Glücklich war... Bist du der sache näher gekommen?

Ich bin dem ruf gefolgt mal iptables zu integrieren. Das hat auch funktioniert nur Regeld anlegen klappt nicht wirklich. <ich bekomm ständig Fehlermeldungen. Kann auch daran liegen das ich etwas falsch mache da ich mich mit iptables nicht auskenne.

Könnte mich dabei jemand unterstützen?

Ich möchte gern für ein gewisses Netz bzw eine gewisse IP alle Ports ab (Beispielsweise) 1024 sperren.
Ich habe verschieden Kernel Module integriert und nachgeladen und wenn ich versuchen das ganze über

iptables -A TRANS -p tcp -s x.x.x.x -m multiport --dport 1024-65535 -j DROP

zu sperren bekomme ich folgende Meldung:

iptables v1.4.1.1: Couldn't load match `multiport':File not found

Ohne Multiport:

iptables v1.4.1.1: Unknown arg `--dport'

Was mache ich falsch? Ich habe mich an die kurze Anleitung auf freetz.org gahalten. bzw die Regel abgeändert.

Auch folgendes funzt nicht:

iptables -A INPUT -s x.x.x.x -j DROP
iptables v1.4.1.1: Couldn't load target `standard':File not found


Wo is mein Problem?

Danke...

 

[stinkstiefel]

Was spricht denn iptables -L ?