Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС для молодых и начинающих системных администраторов.
Starting Nmap 5.21 ( http://nmap.org ) at 2011-06-13 21:00 MSD
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0018s latency).
rDNS record for 127.0.0.1: formoza
Not shown: 65507 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop3
111/tcp open rpcbind
139/tcp open netbios-ssn
143/tcp open imap
199/tcp open smux
443/tcp open https
445/tcp open microsoft-ds
953/tcp open rndc
993/tcp open imaps
995/tcp open pop3s
1344/tcp open unknown
2049/tcp open nfs
3310/tcp open unknown
5380/tcp open unknown
7634/tcp open hddtemp
10025/tcp open unknown
10026/tcp open unknown
11211/tcp open unknown
30020/tcp open unknown
38044/tcp open unknown
43669/tcp open unknown
44227/tcp open unknown
57882/tcp open unknown
Nmap done: 1 IP address (1 host up) scanned in 18.12 seconds
Получил открытые у себя tcp-порты. Допустим я захотел закрыть 993 порт. Ввёл правило:
iptables -A INPUT -p tcp -i lo --dport 993 -j DROP
Выполнил туже команду - порт не закрылся. Как же его закрыть? И главное тестовое сканирование лучше запускать с сервера или с соседней машины?
А можна спрошу. А если я такое проделывал с рабочим серваком который смотрит в мир через белый айпи. И nmap что
Nmap Options: -p1-65535 -T4 -sS xxx.xxx.xxx.xxx
Starting Nmap 4.75 ( http://nmap.org ) at 2011-04-15 08:58 St?ednн Evropa (letnн ?as)
Interesting ports on хх-хх-хх-хх.ip.ukrtel.net (ххх.ххх.ххх.ххх):
Not shown: 65534 filtered ports
PORT STATE SERVICE
80/tcp open http
Настройки такие
IPT="/usr/sbin/iptables"
INET_IFACE="ppp0"
INET_IP="xxx.xxx.xxx.xxx"
LAN="192.168.0.0/24"
UNPRIPORTS="1024:65535"
echo 1 > /proc/sys/net/ipv4/ip_forward
$IPT -F
$IPT -X
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -p tcp -i eth1 -s $LAN -j ACCEPT
$IPT -A INPUT -p udp -i eth1 -s $LAN -j ACCEPT
$IPT -A INPUT -p icmp -i eth1 -s $LAN -j ACCEPT
$IPT -A INPUT -p tcp -s $LAN -i eth1 --dport 53 -j ACCEPT
$IPT -A INPUT -p udp -s $LAN -i eth1 --dport 53 -j ACCEPT
$IPT -A INPUT -p tcp -i ppp0 --dport 80 -j ACCEPT
$IPT -A FORWARD -s 192.168.0.55 -o ppp0 -j ACCEPT
$IPT -A FORWARD -s 192.168.0.3 -o ppp0 -j ACCEPT
$IPT -A FORWARD -p tcp -s 192.168.0.57 --dport 25 -o ppp0 -j ACCEPT
$IPT -A FORWARD -p tcp -s 192.168.0.57 --dport 110 -o ppp0 -j ACCEPT
$IPT -A FORWARD -p tcp -s 192.168.0.177 --dport 25 -o ppp0 -j ACCEPT
$IPT -A FORWARD -p tcp -s 192.168.0.177 --dport 110 -o ppp0 -j ACCEPT
$IPT -A FORWARD -p tcp -s 192.168.0.145 --dport 25 -o ppp0 -j ACCEPT
$IPT -A FORWARD -p tcp -s 192.168.0.145 --dport 110 -o ppp0 -j ACCEPT
$IPT -A FORWARD -s 192.168.0.63 -o ppp0 -j ACCEPT
$IPT -A FORWARD -s 192.168.0.18 -o ppp0 -j ACCEPT
$IPT -A FORWARD -s 192.168.0.2 -o ppp0 -j ACCEPT
$IPT -A FORWARD -s 192.168.0.160 -o ppp0 -j ACCEPT
$IPT -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP
$IPT -A FORWARD -s 192.168.0.130 -o ppp0 -j ACCEPT
$IPT -A FORWARD -s 192.168.0.56 -o ppp0 -j ACCEPT
$IPT -A FORWARD -s 192.168.0.197 -o ppp0 -j ACCEPT
$IPT -A FORWARD -s 192.168.0.131 -o ppp0 -j ACCEPT
$IPT -A FORWARD -s 192.168.0.156 -o ppp0 -j ACCEPT
Nmap Options: -T4 -sU ххх.ххх.ххх.ххх
Starting Nmap 4.75 ( http://nmap.org ) at 2011-04-15 09:22 St?ednн Evropa (letnн ?as)
All 1000 scanned ports on ххх-ххх-ххх-ххх.ip.ukrtel.net (ххх.ххх.ххх.ххх) are open|filtered
Nmap done: 1 IP address (1 host up) scanned in 16.37 seconds
Как это понят All 1000 scanned ports on ххх-ххх-ххх-ххх.ip.ukrtel.net (ххх.ххх.ххх.ххх) are open|filtered
ели политика по умолчанию на входной трафик DROP
принцип прост до безобразия — сказать слушающему этот порт демону: перестань это делать·
Если я Вас правильно понял, я должен остановить службу. Но как быть с распространённым выражением: Прописываем правила, закрывающие все порты за исключением...
Если я Вас правильно понял, я должен остановить службу.
службы — это в церкви· и ещё в одном православном месте·
в unix — порты слушают демоны· да, демона надо остановить и запустить с другой конфигурацией· или не запускать — вам виднее·
службы — это в церкви· и ещё в одном православном месте·
в unix — порты слушают демоны·
оно вам нравится? ну, распечатайте его, например, и повесьте на стену·
Вообщето сервис (service) служба и демон (daemon) это по сути одно и тоже. Уважаемый Sash-Kan, я уже давно заметил - вы мастер давать советы не по существу. И не нужно нервничать!
службы — это в церкви· и ещё в одном православном месте·
в unix — порты слушают демоны·
оно вам нравится? ну, распечатайте его, например, и повесьте на стену·
Вообщето сервис (service) служба и демон (daemon) это по сути одно и тоже. Уважаемый Sash-Kan, я уже давно заметил - вы мастер давать советы не по существу. И не нужно нервничать!
В чём именно не по существу?
Вам не нужен демон -- не запускайте.
Не нужен на определённом интерфейсе -- запускайте только на нужном.
А так портянка правил, которая здесь приведена из серии -- слышал звон, да не знаю где он. Даже если не обращать внимания на давно устаревший -m state.
