Здравствуйте, гость ( Вход | Регистрация )

 
Ответить в данную темуНачать новую тему
> Debian: закрыть порты
Foxtrot
сообщение 24.11.2010 - 19:25
Энтузиаст
****

Группа: Участник
Сообщений: 302
Регистрация: 25.12.2005
Пользователь №: 11189


Подскажите, не могу закрыть порты 25, 110, 111, 119, 143, 465, 563, 587, 993, 995.
Делаю так, запускаю .sh файлик, но порты всеравно открыты:
Цитата
#!/bin/sh
link=/sbin/iptables

$link -F
$link -X
$link -t nat -F
$link -t nat -X
$link -t mangle -F
$link -t mangle -X
$link -P INPUT DROP
$link -A INPUT -p tcp --dport 22 -j ACCEPT
$link -A INPUT -m multiport -p tcp --dports 25,110,111,119,143,465,563,587,993,995 -j DROP
$link -A INPUT -p udp --dport 111 -j DROP

Файлик работает, если убрать $link -A INPUT -p tcp --dport 22 -j ACCEPT, то придется перезагружать тачку.

Пытался и вручную вбивать, толку 0 — порты открыты.
Цитата
iptables -A INPUT -p udp --dport 111 -j DROP
iptables -A INPUT -p tcp --dport 25 -j DROP
iptables -A INPUT -p tcp --dport 110 -j DROP
iptables -A INPUT -p tcp --dport 111 -j DROP
iptables -A INPUT -p tcp --dport 119 -j DROP
iptables -A INPUT -p tcp --dport 143 -j DROP
iptables -A INPUT -p tcp --dport 465 -j DROP
iptables -A INPUT -p tcp --dport 563 -j DROP
iptables -A INPUT -p tcp --dport 587 -j DROP
iptables -A INPUT -p tcp --dport 993 -j DROP
iptables -A INPUT -p tcp --dport 995 -j DROP


Чуть было обрадовался, нашел файлик /etc/services, закоментировал там эти порты, перезапустил комп и фигу.
Цитата
#smtp 25/tcp mail
#imap2 143/tcp imap # Interim Mail Access P 2 and 4
#imap2 143/udp imap
#nntps 563/tcp snntp # NNTP over SSL
#nntps 563/udp snntp
#submission 587/tcp # Submission [RFC4409]
#submission 587/udp
#imaps 993/tcp # IMAP over SSL
#imaps 993/udp
#pop3s 995/tcp # POP-3 over SSL
#pop3s 995/udp
Перейти в начало страницы
 
+Цитировать сообщение
leah
сообщение 24.11.2010 - 22:32
Постоялец форума
*****

Группа: Модератор
Сообщений: 967
Регистрация: 17.08.2004
Пользователь №: 4400


Цитата(Foxtrot @ 24.11.2010 - 19:25) *
Подскажите, не могу закрыть порты 25, 110, 111, 119, 143, 465, 563, 587, 993, 995.
Делаю так, запускаю .sh файлик, но порты всеравно открыты:

Файлик работает, если убрать $link -A INPUT -p tcp --dport 22 -j ACCEPT, то придется перезагружать тачку.

Пытался и вручную вбивать, толку 0 — порты открыты.
Чуть было обрадовался, нашел файлик /etc/services, закоментировал там эти порты, перезапустил комп и фигу.

Поставь пакет firehol
1) sudo apt-get install firehol
2) поправь файл /etc/default/firehol и поставь там START_FIREHOL=YES
3) измени файл /etc/firehol/firehol.conf так
Код
version 5

# Accept all client traffic on any interface
interface eth0 world
        policy accept
        server "smtp pop3 portmap nntp imap smpts nntps submission imaps pop3s" reject


4) выполни /etc/init.d/firehol start

5) посмотри для проверки iptables -n -L | grep 995

6) после этого проникновенно читать туториал в http://firehol.sourceforge.net/

7) можно задавать вопросы

PS. самый простой (в настройке) файрволл и самый любимый. есть лучше но сложнее, есть сложнее, но хуже....

Сообщение отредактировано leah - 24.11.2010 - 22:45
Перейти в начало страницы
 
+Цитировать сообщение
Foxtrot
сообщение 24.11.2010 - 23:05
Энтузиаст
****

Группа: Участник
Сообщений: 302
Регистрация: 25.12.2005
Пользователь №: 11189


Цитата(leah @ 24.11.2010 - 22:32) *
Поставь пакет firehol
1) sudo apt-get install firehol
2) поправь файл /etc/default/firehol и поставь там START_FIREHOL=YES
3) измени файл /etc/firehol/firehol.conf так
Код
version 5

# Accept all client traffic on any interface
interface eth0 world
        policy accept
        server "smtp pop3 portmap nntp imap smpts nntps submission imaps pop3s" reject


4) выполни /etc/init.d/firehol start

5) посмотри для проверки iptables -n -L | grep 995

6) после этого проникновенно читать туториал в http://firehol.sourceforge.net/

7) можно задавать вопросы

PS. самый простой (в настройке) файрволл и самый любимый. есть лучше но сложнее, есть сложнее, но хуже....

Спасибо, но к сожалению не помогло. iptables -n -L | grep 995
Цитата
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:995 state NEW,ESTABLISHED reject-with tcp-reset
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:995 dpts:1024:65535 state ESTABLISHED reject-with tcp-reset

Попробовал drop вместо reject, тоже.
В гугле вычитал, что их невозможно закрыть, надо сносить эти сервисы полностью, я поэтому и подумал, что решение в файле /etc/services.
Поставил rcconf, подскажи, что из этого можно спокойно выключить?
Прикрепленный файл  services.jpg ( 43.55 килобайт ) Кол-во скачиваний: 4


Сообщение отредактировано Foxtrot - 24.11.2010 - 23:12
Перейти в начало страницы
 
+Цитировать сообщение
leah
сообщение 24.11.2010 - 23:21
Постоялец форума
*****

Группа: Модератор
Сообщений: 967
Регистрация: 17.08.2004
Пользователь №: 4400


Цитата(Foxtrot @ 24.11.2010 - 23:05) *
Спасибо, но к сожалению не помогло. iptables -n -L | grep 995

Попробовал drop вместо reject, тоже.
В гугле вычитал, что их невозможно закрыть, надо сносить эти сервисы полностью, я поэтому и подумал, что решение в файле /etc/services.
Поставил rcconf, подскажи, что из этого можно спокойно выключить?

Э..... работать не будет :-(
Не прав я был...
By changing the policy to accept, you CANNOT create valid "ACCEPT EVERYTHING, DROP EXPLICITLY"

тогда напиши так - запрети все и разрешай только нужные порты!
Код
version 5

# Accept all client traffic on any interface
interface eth0 world
        policy drop

        server "icmp ssh samba http ftp" accept
        client "icmp dhcp dns ssh samba http ftp https" accept

или даже так (в зависимости, от того, что хочешь)
Код
version 5

# Accept all client traffic on any interface
interface eth0 world
        policy drop

        server "icmp ssh samba http ftp" accept
        client all accept


PS. А в гугле ты неправильно нашел!!! Только сначала нужно все запретить, а уж потом разрешать... Если нужно запретить именно выборочно, то здесь тонко нужно программировать iptables....

Сообщение отредактировано leah - 24.11.2010 - 23:47
Перейти в начало страницы
 
+Цитировать сообщение
Foxtrot
сообщение 24.11.2010 - 23:33
Энтузиаст
****

Группа: Участник
Сообщений: 302
Регистрация: 25.12.2005
Пользователь №: 11189


Сделал, всеравно..
Цитата
localhost:~# iptables -n -L | grep 995
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:995 dpts:32768:61000 state ESTABLISHED reject-with tcp-reset
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:995 state NEW,ESTABLISHED reject-with tcp-reset
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:32768:61000 dpt:995 state NEW,ESTABLISHED reject-with tcp-reset
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:995 dpts:1024:65535 state ESTABLISHED reject-with tcp-reset

Цитата(leah @ 24.11.2010 - 23:21) *
////


PPS& И как ты проверяешь, что порт закрыт или не закрыт?

С помощью xSpider,
Прикрепленный файл  xspider.jpg ( 24.34 килобайт ) Кол-во скачиваний: 0
Перейти в начало страницы
 
+Цитировать сообщение
leah
сообщение 24.11.2010 - 23:54
Постоялец форума
*****

Группа: Модератор
Сообщений: 967
Регистрация: 17.08.2004
Пользователь №: 4400


Цитата(Foxtrot @ 24.11.2010 - 23:33) *
Сделал, всеравно..


С помощью xSpider,
Прикрепленный файл  xspider.jpg ( 24.34 килобайт ) Кол-во скачиваний: 0

Еще раз перечитай мое предыдущее сообщение, я в первый раз наврал...

И тебе нужно исходящие или входящие закрыть?

Сообщение отредактировано leah - 24.11.2010 - 23:57
Перейти в начало страницы
 
+Цитировать сообщение
Foxtrot
сообщение 25.11.2010 - 00:10
Энтузиаст
****

Группа: Участник
Сообщений: 302
Регистрация: 25.12.2005
Пользователь №: 11189


Сделал так, проверить на ссх:
Цитата
# Accept all client traffic on any interface
interface eth0 world
policy drop

server "ssh" accept
client all accept

перезапустил firehol и iptables -n -L | grep 995 перестала работать, отправил тачку в ребут.

Цитата(leah @ 24.11.2010 - 23:54) *
И тебе нужно исходящие или входящие закрыть?

Входящие, что-бы программы типо XSpider ничего не видели, кроме публичных сервисов. Это я со своего горнетовского ip сканировал.
Перейти в начало страницы
 
+Цитировать сообщение
leah
сообщение 25.11.2010 - 08:52
Постоялец форума
*****

Группа: Модератор
Сообщений: 967
Регистрация: 17.08.2004
Пользователь №: 4400


Цитата(Foxtrot @ 25.11.2010 - 00:10) *
Сделал так, проверить на ссх:

перезапустил firehol и iptables -n -L | grep 995 перестала работать, отправил тачку в ребут.
Входящие, что-бы программы типо XSpider ничего не видели, кроме публичных сервисов. Это я со своего горнетовского ip сканировал.

Так должно работать уже вот это iptables -n -L | grep 22 - и должно получиться ACCEPT
Перейти в начало страницы
 
+Цитировать сообщение

Ответить в данную темуНачать новую тему
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0

 



RSS Текстовая версия Сейчас: 24.10.2021 - 09:09