On Fri, 8 Nov 2002, Mikołaj Menke wrote: > Użytkownik Mirek Grochowski napisał: > > >>To, ze porty sa otwarte, wcale nie znaczy, ze firewall da do nich wszystkim > >>dostep. > >>Jesli chcesz pozamykac otwarte porty, to powylaczaj zbedne uslugi. > >> > >> > No spoko, ale niektóre usługi, które chcę zamknąć powinny być > wyhaszowane w inetd.conf, ale ich tam po prostu nie ma. Narazie wziąłem > i je pozamykałem przez odcięcie portów. Jak nizej napissalem, moze portsentry otwiera jakies porty.
> >> > >> > >Ja bym powiedzial, ze portu byc moze sa otwarte jak skanujesz z wlasnej > >maszyny, ale ze zdalnej powinny byc pozamykane. > > > Całkiem możliwe, tak podejrzewałem, ale nie mam tego jak sprawdzić. podaj mi adres maszyny na priv to Cie przeskanuje. > >Najlepsza metoda jest REJECT lub DROP wszystkiego, i wuszcznie jedynie > >kilku portow, ktore maja byc otwarte. > > > >Jeszcze dwie uwagi: > >portsentry otwiera cala mase portow, tak dla zmylki mniej wiecej. > >upewnij sie, ze regolki firewalla ustawiles w odpowiedniej kolejnosci. > > > A to ma jakieś znaczenie? Jeśli tak to prosiłbym o jakiś prosty przykład > z życia na priva co się stanie gdy jakiejś tam regułce przestawimy > kolejność. > Wlasciwie to nie jestem pewien czy w iptables ma to znaczenie, ale w ipchains na pewno mialo. Tzn jest tak, ze jak na poczatku dasz regolke blokujaca wszystkie porty, to zostana zablokowane i na tym sie skonczy praca firewalla. Zwroc tylko uwage na to, ze regolki dodaje sie za pomoca -i lub -a, jedno dodaje na poczatek a drugie na koniec lancucha. > > > No i jeszcze jedna ciekawa rzecz przy okazji zamykania portów. Po > zamknięciu portów od 111 do 142 Exim traci szybkość, koszmarnie długo > czeka się na połączenie. Po otwarciu portu 113 wszystko wraca do normy. > Do czego jest ten port? najlepsza metoda sprawdzenia czegokolwiek jest cat /etc/services | grep 113 ale dokladnie to i tak nie wiem, w kazdym razie ja go otworzylem. > Dalej - po zamknięciu portu 43 przestają działać wszelkie programy typu > Whois, ale ja dodaję regułkę tylko do INPUT. O co chodzi? > Po zamknięciu wszystkich portów powyżej 1024 pada mi sieć - z niczym się > nie połączę. Czemu? dodaj regolke: iptables -I INPUT -d $TWOJE_IP -m state --state ESTABLISHED,RELATED -j ACCEPT > No i już ostatnie pytanie :-) : po przeskanowaniu nmapem próbowałem się > dobrać telnetem do otwartych portów. Połączenie było nawiązywane, ale > natychmiast zrywane. Czy taki stan rzeczy jest bezpieczny? I jak > określić co zerwało połączenie, czy to był jakiś firewall, czy usługa > nasłuchująca, czy może coś w stylu "Protocol mismatch"? No jak masz porty otwarte, to normalka, ze polaczenie jest nawiazywane. A zrywane zostawalo dlatego, ze nie moglo sie przeniesc na inny port. Od tago jest wlasnie regolka, ktora podalem wyzej lub otwarcie wysokich portow. pozd -- mirek
