Закрыть порты 22, 111, 6000

Автор: mikhram Дата: 06.12.2003 22:05 WARNING. Чайниковый вопрос.

Тут мне приходится управлять настольной машиной, торчащей в Интернет
напрямую. Не хотелось бы зависеть от скорости апдейта, поэтому хочется
закрыть всё по максимуму. Но так, чтобы всяческие там входящие ICQ
проходили...

Посмотрел netstat -am . На всех адресах (0.0.0.0) слушаются порты 22
(ssh), 111 (portmapper), 6000 (X11 ?).

Вопрос - как всё это закрыть? Желательно не "уложить сервисы", а "чтобы
слушался только 127.0.0.1".
Re: Закрыть порты 22, 111, 6000 06.12.2003 22:511ex #ntsysv - остановите portmap`ер и sshd
X server глушить не надо Улыбка
Re: Закрыть порты 22, 111, 6000 06.12.2003 23:21МихаилZ Настройте iptables
В качестве примера возьмите мои домашние настройки
Если что-то работать не будет - остановите iptables. Запустите ethereal, вычислите на какой порт ломится программа и добавьте разрешающую цепочку и поднимите опять iptables


/etc/sysconfig/iptables
---
# Completed on Mon Jan 20 13:10:32 2003
# Generated by iptables-save v1.2.7a on Mon Jan 20 13:10:32 2003
*filter
:INPUT DROP [4:192]
:FORWARD ACCEPT [0:0]
:OUTPUT DROP [4:160]
[0:0] -A INPUT -i lo -j ACCEPT
[0:0] -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
[0:0] -A INPUT -i ppp0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
[0:0] -A OUTPUT -o lo -j ACCEPT
[0:0] -A OUTPUT -o ppp0 -p tcp -m tcp --dport 21 -j ACCEPT
[0:0] -A OUTPUT -o ppp0 -p tcp -m tcp --dport 3128 -j ACCEPT
[0:0] -A OUTPUT -o ppp0 -p tcp -m tcp --dport 80 -j ACCEPT
[0:0] -A OUTPUT -o ppp0 -p tcp -m tcp --dport 110 -j ACCEPT
[0:0] -A OUTPUT -o ppp0 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A OUTPUT -o ppp0 -p udp -m udp --dport 53 -j ACCEPT
[0:0] -A OUTPUT -o ppp0 -p udp -m udp --dport 123 -j ACCEPT
[0:0] -A OUTPUT -o ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
[0:0] -A OUTPUT -o ppp0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
COMMIT
# Completed on Mon Jan 20 13:10:32 2003
# Generated by iptables-save v1.2.7a on Mon Jan 20 13:10:32 2003
*nat
:OUTPUT ACCEPT [0:0]
:-PREROUTING ACCEPT [0:0]
:-POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Mon Jan 20 13:10:32 2003
---
Re: Закрыть порты 22, 111, 6000 07.12.2003 00:16XMan А вопрос можно - зачем DROP на исходящие ? "С места" могу сказать порт, который используется часто, но здесь не прописан - 8080 Улыбка

---

Кстати, в таком варианте правила:

-A OUTPUT -o ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -o ppp0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

лишние, ибо до них выполняется одно из правил с "--dport".
Re: Закрыть порты 22, 111, 6000 07.12.2003 03:05serg_luk (The 1593 ports scanned but not shown below are in state: closed)
Port State Service
1/tcp open tcpmux
11/tcp open systat
15/tcp open netstat
79/tcp open finger
111/tcp open sunrpc
119/tcp open nntp
139/tcp open netbios-ssn
143/tcp open imap2
199/tcp open smux
445/tcp open microsoft-ds
540/tcp open uucp
635/tcp open unknown
1080/tcp open socks
1524/tcp open ingreslock
2000/tcp open callbook
6000/tcp open X11
6667/tcp open irc
10000/tcp open snet-sensor-mgmt
12345/tcp open NetBus
12346/tcp open NetBus
27665/tcp open Trinoo_Master
31337/tcp open Elite
32771/tcp open sometimes-rpc5
32772/tcp open sometimes-rpc7
32773/tcp open sometimes-rpc9
32774/tcp open sometimes-rpc11
54320/tcp open bo2k

Nmap run completed -- 1 IP address (1 host up) scanned in 2.668 seconds

Просканил себя ваще беспредел портов понаоткрыто дофига как все это позакрывать то а Грустный
Re: Закрыть порты 22, 111, 6000 07.12.2003 19:47XMan Дааа... По полной программе, что ли ставился ? Да еще все сервисы запустил ? Улыбка

Как закрыть - МихаилZ написал. Еще бы на мой вопрос он ответил бы... Улыбка
Re: Закрыть порты 22, 111, 6000 07.12.2003 20:19rekod А я вот все лишние сервисы остановил redhat-config-servces (машина используется как рабочая станция, а не как сервер), кроме 6000 (X11).
Его как-нибудь можно закрыть без применения файрвола?
Или он безопасен и эксплоитов под него не придумали? ;-)
Re: Закрыть порты 22, 111, 6000 07.12.2003 22:53XMan Да чем вам файрвол-то неугодил ? Улыбка
Re: Закрыть порты 22, 111, 6000 08.12.2003 00:17mikhram Лично мне файрвол не угодил тем, что я пока не умею его настраивать Грустный

Понимаю, что RTFM. Вопрос - что именно прочесть про настройку локального файрвола в [ASP] Linux?
Re: Закрыть порты 22, 111, 6000 08.12.2003 01:47XMan Где-то на www.opennet.ru есть достаточно небольшая и хорошая статья о настройке iptables.

В ASP есть webmin, который тоже умеет его строить, но я его не пользовал.
Так же имеется нечто под названием "redhat-config-securitylevel".
Re: Закрыть порты 22, 111, 6000 08.12.2003 12:38Jazzman [gazette.linux.ru.net]
+ можно еще inetd.conf почистить (я вообще все закомментарил в нем)
Re: Закрыть порты 22, 111, 6000 08.12.2003 18:38mozheyko_d Может закрыть все SYN снаружи и всё ?

/etc/sysconfig/iptables:

# Generated by iptables-save v1.2.7a on Thu Oct 2 11:05:03 2003
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
[0:0] -A INPUT -i ppp0 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Thu Oct 2 11:05:03 2003
Re: Закрыть порты 22, 111, 6000 09.12.2003 22:23XMan Что, собственно, МихаилZ и сделал в правилах:

:INPUT DROP [4:192]

[0:0] -A INPUT -i lo -j ACCEPT
[0:0] -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
[0:0] -A INPUT -i ppp0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

На мой взгляд, так более корректно Улыбка
Re: Закрыть порты 22, 111, 6000 11.12.2003 14:48swix У Вас запущен portsentry - он и слушает эти порты на предмет обнаружения вторжении. Ничего страшного в этом нет.
RSS-материал