Re: iptables

To: Mikołaj Menke <miki@fuckwindows.com>
Cc: debian-user-polish@lists.debian.org
Subject: Re: iptables
From: Mirek Grochowski <mgroch@taxis.immt.pwr.wroc.pl>
Date: Fri, 8 Nov 2002 11:56:42 +0100 (CET)
Message-id: <Pine.LNX.4.44.0211081114220.20042-100000@uwolni.net>
In-reply-to: <3DCB850B.2070303@fuckwindows.com>

On Fri, 8 Nov 2002, Mikołaj Menke wrote:

> Użytkownik Mirek Grochowski napisał:
>
> >>To, ze porty sa otwarte, wcale nie znaczy, ze firewall da do nich wszystkim
> >>dostep.
> >>Jesli chcesz pozamykac otwarte porty, to powylaczaj zbedne uslugi.
> >>
> >>
> No spoko, ale niektóre usługi, które chcę zamknąć powinny być
> wyhaszowane w inetd.conf, ale ich tam po prostu nie ma. Narazie wziąłem
> i je pozamykałem przez odcięcie portów.
Jak nizej napissalem, moze portsentry otwiera jakies porty.

> >>
> >>
> >Ja bym powiedzial, ze portu byc moze sa otwarte jak skanujesz z wlasnej
> >maszyny, ale ze zdalnej powinny byc pozamykane.
> >
> Całkiem możliwe, tak podejrzewałem, ale nie mam tego jak sprawdzić.
podaj mi adres maszyny na priv to Cie przeskanuje.

> >Najlepsza metoda jest REJECT lub DROP wszystkiego, i wuszcznie jedynie
> >kilku portow, ktore maja byc otwarte.
> >
> >Jeszcze dwie uwagi:
> >portsentry otwiera cala mase portow, tak dla zmylki mniej wiecej.
> >upewnij sie, ze regolki firewalla ustawiles w odpowiedniej kolejnosci.
> >
> A to ma jakieś znaczenie? Jeśli tak to prosiłbym o jakiś prosty przykład
> z życia na priva co się stanie gdy jakiejś tam regułce przestawimy
> kolejność.
>
Wlasciwie to nie jestem pewien czy w iptables ma to znaczenie, ale w
ipchains na pewno mialo. Tzn jest tak, ze jak na poczatku dasz regolke
blokujaca wszystkie porty, to zostana zablokowane i na tym sie skonczy
praca firewalla. Zwroc tylko uwage na to, ze regolki dodaje sie za pomoca
-i lub -a, jedno dodaje na poczatek a drugie na koniec lancucha.

> >
> No i jeszcze jedna ciekawa rzecz przy okazji zamykania portów. Po
> zamknięciu portów od 111 do 142 Exim traci szybkość, koszmarnie długo
> czeka się na połączenie. Po otwarciu portu 113 wszystko wraca do normy.
> Do czego jest ten port?
najlepsza metoda sprawdzenia czegokolwiek jest
cat /etc/services | grep 113
ale dokladnie to i tak nie wiem, w kazdym razie ja go otworzylem.

> Dalej - po zamknięciu portu 43 przestają działać wszelkie programy typu
> Whois, ale ja dodaję regułkę tylko do INPUT. O co chodzi?
> Po zamknięciu wszystkich portów powyżej 1024 pada mi sieć - z niczym się
> nie połączę. Czemu?
dodaj regolke:
iptables -I INPUT -d $TWOJE_IP -m state --state ESTABLISHED,RELATED -j
ACCEPT

> No i już ostatnie pytanie :-) : po przeskanowaniu nmapem próbowałem się
> dobrać telnetem do otwartych portów. Połączenie było nawiązywane, ale
> natychmiast zrywane. Czy taki stan rzeczy jest bezpieczny? I jak
> określić co zerwało połączenie, czy to był jakiś firewall, czy usługa
> nasłuchująca, czy może coś w stylu "Protocol mismatch"?
No jak masz porty otwarte, to normalka, ze polaczenie jest nawiazywane. A
zrywane zostawalo dlatego, ze nie moglo sie przeniesc na
inny port. Od tago jest wlasnie regolka, ktora podalem wyzej lub otwarcie
wysokich portow.

pozd
-- 
mirek

Reply to:

Follow-Ups:
- Re: iptables
  - From: Łukasz Nowak <Lukasz@Nowak.eu.org>

References:
- Re: iptables
  - From: Mikołaj Menke <miki@fuckwindows.com>

Prev by Date: Re: Ě¤žľÂúššđ˘¨ĚľÎÁĽ×ĽěĽźĽóĽČ
Next by Date: Re: Ě¤žľÂúššđ˘¨ĚľÎÁĽ×ĽěĽźĽóĽČ
Previous by thread: Re: iptables
Next by thread: Re: iptables
Index(es):
- Date
- Thread