Massiver Traffic durch ntpd - Abhilfe?

@foxit: Das wird er schon gemacht haben, daher kommt das unreachable (sonst würde der ntp ja antworten und der Port wäre nicht unreachable ;)).

testit: Die Anfragen solltest du mit einem Paketfilter droppen. Ich persönlich verwende OpenBSD und pf. Die Konfiguration ist leicht verständlich und gut lesbar. Ich würde generell den Einsatz eines Paketfilters empfehlen, um evtl. Fehlkonfigurationen (Netzwerkdienst von aussen erreichbar) vorzubeugen.
 
Hallo,

die ntpd.conf wird mein o.a. Problem nicht lösen, da selbst bei DEAKTIVIERTEM OpenNTPD die o.a. Request-Antworten generiert werden.

Gruß
testit
 
makenoob schrieb:
@foxit: Das wird er schon gemacht haben, daher kommt das unreachable (sonst würde der ntp ja antworten und der Port wäre nicht unreachable ;)).

testit: Die Anfragen solltest du mit einem Paketfilter droppen. Ich persönlich verwende OpenBSD und pf. Die Konfiguration ist leicht verständlich und gut lesbar. Ich würde generell den Einsatz eines Paketfilters empfehlen, um evtl. Fehlkonfigurationen (Netzwerkdienst von aussen erreichbar) vorzubeugen.
Zum Vergrößern anklicken....

Das hast Du sicher Recht, aber wie schon oben geschildert, traue ich mich da nicht ohne genaues Einlesen ran und bräuchte aber eine zeitnahe Lösung.

Viele Grüße
testit
 
makenoob schrieb:
@foxit: Das wird er schon gemacht haben, daher kommt das unreachable (sonst würde der ntp ja antworten und der Port wäre nicht unreachable ;)).
Zum Vergrößern anklicken....
Achso ja danke, jetzt hat es klick gemacht :)

@testit
Wir können dir sicher helfen, eine "pf" config zu erstellen.

edit:
Hier mal eine kleine Variante:
Code: 
# ---
# FreeBSD 9.2 Firewall
# ---

# --- INTERFACES
lan=em0

# --- PORTS
freebsd_local="{22, 25, 8080}"

# --- ALLGEMEIN
set skip on lo
scrub in on $lan all fragment reassemble

# --- START PF RULE
block in all
pass out all keep state

# --- WAN PING
pass in quick on $lan inet proto icmp all icmp-type echoreq

# --- WAN SSH to FreeBSD
pass in quick on $lan proto tcp from any to $lan port $freebsd_local

Alles auf dieser Maschine nach aussen (Internet/LAN) ist erlaubt. Auf diese Maschine ist aber nur Port 22, 25 und 8080 erlaubt. PING Antworten werden auch gesendet.
 
Zuletzt bearbeitet:
Eine Beispielkonfiguration liegt bei FreeBSD unter /usr/share/examples/pf/pf.conf

Als Lektüre empfehle ich dir Peter N. Hansteens Tutorial sowie den pf Teil in der OpenBSD FAQ. Damit solltest du auch kurzfristig zumindest den einen Port geblockt bekommen.
 
Für ipfw sähe es so aus:
Code: 
# NTP Sicherung (muss vor NAT)
$cmd add 30 allow udp from me to any 123 out via $lan_if uid root keep-state
$cmd add 40 deny udp from any to any 123
Ausgehend mit Statetracking Pakete von root durch (damit ntpd weiterhin funktioniert), eingehend dicht.
 
FreeBSD-SA-14:02.ntpd von gestern Abend patcht ntpd und schaltet "monlist" im Sourcecode tot.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben