Hallo Michael,
At 31.01.2002, Michael Pahle wrote:
> Am Mittwoch, 30. Januar 2002 22:15 schrieb Guido Hennecke:
> > Das kann alles weg. Ist teilweise auch doppelt. Kommentier die Zeilen
> > aus und starte den inetd neu.
> > Danach nochmal die Ausgabe von "netstat -ln".
> debbi:/home/michael# netstat -ln
Ist ja schon um Einiges kuerzer.
> Aktive Internetverbindungen (Nur Server)
> Proto Recv-Q Send-Q Local Address Foreign Address State
> tcp 0 0 0.0.0.0:32768 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:2049 0.0.0.0:* LISTEN
Was war das gleich nochmal?
> tcp 0 0 0.0.0.0:901 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN
Und das? (Bitte mit lsof -Pi | grep <portnummer>
> tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
111 ist der Portmapper. Der sollte auf deinem Router garnicht laufen.
Den brauchst Du fuer NFS. Hast Du darueber nachgedacht, den auf einen
anderen Rechner zu packen?
> tcp 0 0 192.168.6.0:80 0.0.0.0:* LISTEN
Intern. Also ok.
> tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN
Es schreib schon jemand, wie Du das auch auf eine interne IP bindest.
> tcp 0 0 0.0.0.0:947 0.0.0.0:* LISTEN
Was das?
> tcp 0 0 192.168.6.11:22 0.0.0.0:* LISTEN
ssh intern.
> tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN
Was das?
> tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
Wolltest Du nicht sendmail anhalten?
> udp 0 0 0.0.0.0:32768 0.0.0.0:*
> udp 0 0 0.0.0.0:2049 0.0.0.0:*
Was ist das?
> udp 0 0 192.168.6.11:137 0.0.0.0:*
Intern.
> udp 0 0 0.0.0.0:137 0.0.0.0:*
Kann man dem SMB Kram nicht beibringen, nur auf einem Interface zu
arbeiten?
> udp 0 0 192.168.6.11:138 0.0.0.0:*
Intern.
> udp 0 0 0.0.0.0:138 0.0.0.0:*
SMB (Ein Teil davon)
> udp 0 0 0.0.0.0:783 0.0.0.0:*
Was ist das?
> udp 0 0 0.0.0.0:10000 0.0.0.0:*
Und das?
> udp 0 0 0.0.0.0:944 0.0.0.0:*
> udp 0 0 0.0.0.0:111 0.0.0.0:*
> udp 0 0 0.0.0.0:631 0.0.0.0:*
Installiere mal xinetd (apt-get install xinetd). Bei der Installation
gibt es die Moeglichkeit, die inetd.conf nach xinetd.conf zu
konvertieren. Mache das und schau mal in die Doku zu xinetd, wie man die
Dienste auf ein internes Interface bindet.
defaults
{
instances = 25
log_type = FILE /var/log/servicelog
log_on_success = HOST PID
log_on_failure = HOST RECORD
bind = 192.168.6.11
only_from = 192.168.6.0/24 localhost
}
Das ganz an den Anfang der /etc/xinetd.conf waere dann die Schnelle
loesung. xinetd neu starten und dann nochmals die Ausgabe von netstat
-ln.
Weiter oben ist mir aufgefallen, dass Du einige Dienste auf 192.168.6.0
gebunden hast. Das musst Du natuerlich (wie bei ssh) auf 192.168.6.11
aendern.
Schaun wir mal.
Gruss, Guido
--
... ausser man macht so Content-Security Zeugs wo die Firewall die
Requests durchschaut und dann bei seltsamen Sachen gleich blockt.
Message-ID: <8pq2u5$rjj$1@gamma.ray.org>
Attachment:
pgpiA2F7L16_X.pgp
Description: PGP signature