On Tue, Feb 3, 2009 at 11:45 PM, Marcelo Laia
<marcelolaia@gmail.com> wrote:
Ola,
Estou configurando algumas regras IPTABLES, com base no farto material
que encontrei na internet, e estou com umas duvidas.
Eu peguei varios scripts e fui montando o meu.
Use os scripts como base, mas APRENDA iptables. Saiba o que você está fazendo ... Muita informação na internet está simplesmente errada ...
Agora, estou com uma duvida, pois o modelo que estou seguindo diz para
usar a seguinte regra:
# verificar os serviços em execuçao com o comando nmap localhost e
# nmap -sU localhost e habilita-los conforme abaixo
iptables -A INPUT -p tcp -m multiport --dports
21,22,80,111,113,139,445 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dports 111,137,138 -j ACCEPT
No meu caso, os comandos acima retornaram:
$ nmap localhost
Starting Nmap 4.62 ( http://nmap.org ) at 2009-02-03 23:15 BRST
Interesting ports on localhost (127.0.0.1):
Not shown: 1708 closed ports
PORT STATE SERVICE
25/tcp open smtp
111/tcp open rpcbind
139/tcp open netbios-ssn
445/tcp open microsoft-ds
631/tcp open ipp
8118/tcp open privoxy
9050/tcp open tor-socks
$ sudo nmap -sU localhost
Starting Nmap 4.62 ( http://nmap.org ) at 2009-02-03 23:17 BRST
Interesting ports on localhost (127.0.0.1):
Not shown: 1481 closed ports
PORT STATE SERVICE
111/udp open|filtered rpcbind
123/udp open|filtered ntp
137/udp open|filtered netbios-ns
138/udp open|filtered netbios-dgm
631/udp open|filtered unknown
858/udp open|filtered unknown
5353/udp open|filtered zeroconf
Trata-se do meu laptop, portanto, muitos desses servicos eu nao tenho,
mas alguns sim, tenho.
Se você executou o nmap no seu note e ele retornou isso, então vc tem todos esses serviços no notebook (talvez não saiba de alguns, mas estão todos lá ...)
Que eu saiba, eu utilizo o Tor com FoxyProxy (complemento do Firefox)
e, acredito, o smtp, pois eu configurei o exim para enviar emails pelo
gmail (smarthost).
Quanto as portas, vamos lá:
111: portmap (vc utiliza NFS?)
123: NTP
137/138/139/445: samba
631: cups (sistema de impressão)
8118: privoxy
9050: tor
5353: zeroconf (configurações de rede)
Desconheço o serviço da porta 858. Execute o comando
fuser -vn udp 858
para descobrir qual o programa associado a essa porta.
No final, o script tem essa regra:
iptables -A INPUT -p tcp --syn -j DROP
Em sendo assim, pergunto:
Terei que liberar todas aquelas portas la em cima?
Depende da configuração do resto do script. Talvez tenha de liberar nem que seja para localhost, ou algo vai quebrar ...
Muito obrigado
De nada.
--
Marcelo Luiz de Laia
Jaboticabal - SP - Brazil