Debian: закрыть порты Опции

[Foxtrot]

Подскажите, не могу закрыть порты 25, 110, 111, 119, 143, 465, 563, 587, 993, 995.
Делаю так, запускаю .sh файлик, но порты всеравно открыты:

#!/bin/sh
link=/sbin/iptables

$link -F
$link -X
$link -t nat -F
$link -t nat -X
$link -t mangle -F
$link -t mangle -X
$link -P INPUT DROP
$link -A INPUT -p tcp --dport 22 -j ACCEPT
$link -A INPUT -m multiport -p tcp --dports 25,110,111,119,143,465,563,587,993,995 -j DROP
$link -A INPUT -p udp --dport 111 -j DROP

Файлик работает, если убрать $link -A INPUT -p tcp --dport 22 -j ACCEPT, то придется перезагружать тачку.

Пытался и вручную вбивать, толку 0 — порты открыты.

iptables -A INPUT -p udp --dport 111 -j DROP
iptables -A INPUT -p tcp --dport 25 -j DROP
iptables -A INPUT -p tcp --dport 110 -j DROP
iptables -A INPUT -p tcp --dport 111 -j DROP
iptables -A INPUT -p tcp --dport 119 -j DROP
iptables -A INPUT -p tcp --dport 143 -j DROP
iptables -A INPUT -p tcp --dport 465 -j DROP
iptables -A INPUT -p tcp --dport 563 -j DROP
iptables -A INPUT -p tcp --dport 587 -j DROP
iptables -A INPUT -p tcp --dport 993 -j DROP
iptables -A INPUT -p tcp --dport 995 -j DROP

Чуть было обрадовался, нашел файлик /etc/services, закоментировал там эти порты, перезапустил комп и фигу.

#smtp 25/tcp mail
#imap2 143/tcp imap # Interim Mail Access P 2 and 4
#imap2 143/udp imap
#nntps 563/tcp snntp # NNTP over SSL
#nntps 563/udp snntp
#submission 587/tcp # Submission [RFC4409]
#submission 587/udp
#imaps 993/tcp # IMAP over SSL
#imaps 993/udp
#pop3s 995/tcp # POP-3 over SSL
#pop3s 995/udp

[leah]

Подскажите, не могу закрыть порты 25, 110, 111, 119, 143, 465, 563, 587, 993, 995.
Делаю так, запускаю .sh файлик, но порты всеравно открыты:

Файлик работает, если убрать $link -A INPUT -p tcp --dport 22 -j ACCEPT, то придется перезагружать тачку.

Пытался и вручную вбивать, толку 0 — порты открыты.
Чуть было обрадовался, нашел файлик /etc/services, закоментировал там эти порты, перезапустил комп и фигу.

Поставь пакет firehol
1) sudo apt-get install firehol
2) поправь файл /etc/default/firehol и поставь там START_FIREHOL=YES
3) измени файл /etc/firehol/firehol.conf так

Код

version 5

# Accept all client traffic on any interface
interface eth0 world
        policy accept
        server "smtp pop3 portmap nntp imap smpts nntps submission imaps pop3s" reject

4) выполни /etc/init.d/firehol start

5) посмотри для проверки iptables -n -L | grep 995

6) после этого проникновенно читать туториал в http://firehol.sourceforge.net/

7) можно задавать вопросы

PS. самый простой (в настройке) файрволл и самый любимый. есть лучше но сложнее, есть сложнее, но хуже....

Сообщение отредактировано leah - 24.11.2010 - 22:45

[Foxtrot]

Поставь пакет firehol
1) sudo apt-get install firehol
2) поправь файл /etc/default/firehol и поставь там START_FIREHOL=YES
3) измени файл /etc/firehol/firehol.conf так

Код

version 5

# Accept all client traffic on any interface
interface eth0 world
        policy accept
        server "smtp pop3 portmap nntp imap smpts nntps submission imaps pop3s" reject

4) выполни /etc/init.d/firehol start

5) посмотри для проверки iptables -n -L | grep 995

6) после этого проникновенно читать туториал в http://firehol.sourceforge.net/

7) можно задавать вопросы

PS. самый простой (в настройке) файрволл и самый любимый. есть лучше но сложнее, есть сложнее, но хуже....

Спасибо, но к сожалению не помогло. iptables -n -L | grep 995

REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:995 state NEW,ESTABLISHED reject-with tcp-reset
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:995 dpts:1024:65535 state ESTABLISHED reject-with tcp-reset

Попробовал drop вместо reject, тоже.
В гугле вычитал, что их невозможно закрыть, надо сносить эти сервисы полностью, я поэтому и подумал, что решение в файле /etc/services.
Поставил rcconf, подскажи, что из этого можно спокойно выключить?
 services.jpg ( 43,55 килобайт ) Кол-во скачиваний: 4


Сообщение отредактировано Foxtrot - 24.11.2010 - 23:12

[leah]

Спасибо, но к сожалению не помогло. iptables -n -L | grep 995

Попробовал drop вместо reject, тоже.
В гугле вычитал, что их невозможно закрыть, надо сносить эти сервисы полностью, я поэтому и подумал, что решение в файле /etc/services.
Поставил rcconf, подскажи, что из этого можно спокойно выключить?

Э..... работать не будет :-(
Не прав я был...
By changing the policy to accept, you CANNOT create valid "ACCEPT EVERYTHING, DROP EXPLICITLY"

тогда напиши так - запрети все и разрешай только нужные порты!

Код

version 5

# Accept all client traffic on any interface
interface eth0 world
        policy drop

        server "icmp ssh samba http ftp" accept
        client "icmp dhcp dns ssh samba http ftp https" accept

или даже так (в зависимости, от того, что хочешь)

Код

version 5

# Accept all client traffic on any interface
interface eth0 world
        policy drop

        server "icmp ssh samba http ftp" accept
        client all accept

PS. А в гугле ты неправильно нашел!!! Только сначала нужно все запретить, а уж потом разрешать... Если нужно запретить именно выборочно, то здесь тонко нужно программировать iptables....

Сообщение отредактировано leah - 24.11.2010 - 23:47

[Foxtrot]

Сделал, всеравно..

localhost:~# iptables -n -L | grep 995
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:995 dpts:32768:61000 state ESTABLISHED reject-with tcp-reset
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:995 state NEW,ESTABLISHED reject-with tcp-reset
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:32768:61000 dpt:995 state NEW,ESTABLISHED reject-with tcp-reset
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:995 dpts:1024:65535 state ESTABLISHED reject-with tcp-reset

////


PPS& И как ты проверяешь, что порт закрыт или не закрыт?

С помощью xSpider,
 xspider.jpg ( 24,34 килобайт ) Кол-во скачиваний: 0

[leah]

Сделал, всеравно..


С помощью xSpider,
 xspider.jpg ( 24,34 килобайт ) Кол-во скачиваний: 0

Еще раз перечитай мое предыдущее сообщение, я в первый раз наврал...

И тебе нужно исходящие или входящие закрыть?

Сообщение отредактировано leah - 24.11.2010 - 23:57

[Foxtrot]

Сделал так, проверить на ссх:

# Accept all client traffic on any interface
interface eth0 world
policy drop

server "ssh" accept
client all accept

перезапустил firehol и iptables -n -L | grep 995 перестала работать, отправил тачку в ребут.

И тебе нужно исходящие или входящие закрыть?

Входящие, что-бы программы типо XSpider ничего не видели, кроме публичных сервисов. Это я со своего горнетовского ip сканировал.

[leah]

Сделал так, проверить на ссх:

перезапустил firehol и iptables -n -L | grep 995 перестала работать, отправил тачку в ребут.
Входящие, что-бы программы типо XSpider ничего не видели, кроме публичных сервисов. Это я со своего горнетовского ip сканировал.

Так должно работать уже вот это iptables -n -L | grep 22 - и должно получиться ACCEPT