Re: iptables

[Mikołaj Menke <miki@fuckwindows.com>]

Użytkownik Mirek Grochowski napisał:

> > To, ze porty sa otwarte, wcale nie znaczy, ze firewall da do nich wszystkim
> > dostep.
> > Jesli chcesz pozamykac otwarte porty, to powylaczaj zbedne uslugi.
> >    
No spoko, ale niektóre usługi, które chcę zamknąć powinny być 
wyhaszowane w inetd.conf, ale ich tam po prostu nie ma. Narazie wziąłem 
i je pozamykałem przez odcięcie portów.

> >    
> Ja bym powiedzial, ze portu byc moze sa otwarte jak skanujesz z wlasnej
> maszyny, ale ze zdalnej powinny byc pozamykane.
Całkiem możliwe, tak podejrzewałem, ale nie mam tego jak sprawdzić.

> Najlepsza metoda jest REJECT lub DROP wszystkiego, i wuszcznie jedynie
> kilku portow, ktore maja byc otwarte.
>
> Jeszcze dwie uwagi:
> portsentry otwiera cala mase portow, tak dla zmylki mniej wiecej.
> upewnij sie, ze regolki firewalla ustawiles w odpowiedniej kolejnosci.
A to ma jakieś znaczenie? Jeśli tak to prosiłbym o jakiś prosty przykład 
z życia na priva co się stanie gdy jakiejś tam regułce przestawimy 
kolejność.

>  
No i jeszcze jedna ciekawa rzecz przy okazji zamykania portów. Po 
zamknięciu portów od 111 do 142 Exim traci szybkość, koszmarnie długo 
czeka się na połączenie. Po otwarciu portu 113 wszystko wraca do normy. 
Do czego jest ten port?
Dalej - po zamknięciu portu 43 przestają działać wszelkie programy typu 
Whois, ale ja dodaję regułkę tylko do INPUT. O co chodzi?
Po zamknięciu wszystkich portów powyżej 1024 pada mi sieć - z niczym się 
nie połączę. Czemu?
No i już ostatnie pytanie :-) : po przeskanowaniu nmapem próbowałem się 
dobrać telnetem do otwartych portów. Połączenie było nawiązywane, ale 
natychmiast zrywane. Czy taki stan rzeczy jest bezpieczny? I jak 
określić co zerwało połączenie, czy to był jakiś firewall, czy usługa 
nasłuchująca, czy może coś w stylu "Protocol mismatch"?
Przepraszam za męczenie i z góry dziękuję za wszelkie odpowiedzi.

--
http://www.miki.z.pl
miki@z.pl
Gadu-gadu: 2128279
Mobile: +48607345846