Verständnisfrage zu knockd+iptables

[axxis]

Moin moin liebe Leute,

ich habe mal eine Verständnisfrage zum obigen Thema:

Auf meiner Debian(Lenny)-Kiste setze ich knockd in Verbindung mit iptables ein. Die Policy der Input- sowie Output Chain (Standard Table) dropped alles, auf das keine Regel zutrifft.

Nun besitzt meine Output-Chain (noch) keine Regeln, ergo greift nur die Policy, welche ja alles droppt.

Trotzdem kann ich den knockd von außen ansprechen. Knockd siedelt sich laut Manpage in Schicht 2 an. Wenn es um Ports gehen, sprechen wie ja von Schicht 4. Wie genau mogelt sich der kockd also an iptables (Schicht 3 und 4?) vorbei?

Gruß

axxis

edit: Ich merk grad, dass der Thread auch gut ins Networking Board gepasst hätte:floet:

Bearbeitet 27. April 2010 von axxis

[RipperFox]

 ldd `which knockd`

        linux-gate.so.1 =>  (0xb7f24000)

        libpcap.so.0.8 => /usr/lib/libpcap.so.0.8 (0xb7eeb000)

        libc.so.6 => /lib/i686/cmov/libc.so.6 (0xb7d90000)

        /lib/ld-linux.so.2 (0xb7f25000)

knockd nutzt die pcap-Library und snifft wohl auf dem Interface nach passenden Paketen (also VOR der Firewall).

Das mit "Layer 2" stimmt also in ungefähr - es wird in die rohen Pakete geguckt und damit kann die FW ruhig die knock-Ports sperren..

Alles klar?

Grüße

Ripper

[axxis]

Teilweise klar.

Aber: Selbst wenn er VOR der Firewall die Pakete zerpflückt, müsste er sie doch nach dem pflücken im Protokoll-Stack nach oben reichen. Und da die Firewall da ja anscheinend umgangen wird, ist das doch ein ziemliches Sicherheitsrisiko oder?

Gruß

axxis

[lupo49]

Was reicht er denn nach oben weiter?

Er wartet auf eine definierte Sequenz und wenn diese erkannt wurde, führt er ein bestimmtes Kommando auf. Die Sequenz sind in dem Sinne keine Nutzdaten, die weitergereicht werden.

[axxis]

Juti, habs gerafft.

Vielen Dank euch Zweien.