[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Iptables - port-scan

Opa.

Obrigado pela dica. Mas minha instalação é um debian netinstall, por padrão vem "pelado"

Segundo a saida do netstat -tpln

Conexões Internet Ativas (sem os servidores)
Proto Recv-Q Send-Q Endereço Local          Endereço Remoto         Estado      PID/Program name
tcp        0      0 0.0.0.0:80              0.0.0.0:*               OUÇA       917/apache2     
tcp        0      0 172.16.1.231:789        0.0.0.0:*               OUÇA       1230/sshd       
tcp        0      0 172.16.1.231:90         0.0.0.0:*               OUÇA       917/apache2     
tcp        0      0 0.0.0.0:445             0.0.0.0:*               OUÇA       901/smbd        
tcp        0      0 172.16.1.231:100        0.0.0.0:*               OUÇA       917/apache2     
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               OUÇA       1160/mysqld     
tcp        0      0 0.0.0.0:139             0.0.0.0:*               OUÇA       901/smbd    

fuser -v 25/tcp
não volta nada

fuser -v 80/tcp
                   USER        PID ACCESS COMMAND
80/tcp:              root        917 F.... apache2
                     www-data   1009 F.... apache2
                     www-data   1010 F.... apache2
                     www-data   1011 F.... apache2
                     www-data   1012 F.... apache2
                     www-data   1013 F.... apache2
                     www-data   1588 F.... apache2
                     www-data   1589 F.... apache2

Vou modificar meu script novamente. revisar tudo.

Desde já agradeço.

Abraços


--
att
Marcos Carraro
Linux user #511627



Em 30 de março de 2011 01:58, Eden Caldas <edencaldas@gmail.com> escreveu:
Você disse que não tem as portas 25 e 110 escutando mas o nmap achou? Muito estranho isso.

Executa o seguinte localmente no computador com o iptables.

netstat -tpln

Pra ver se aparece algo rodando que abra essas portas.
 
Eden Caldas
Consultor de TI
eden@linuxfacil.srv.br
(81) 9653 7220
LINUX FÁCIL – Consultoria e Serviços em TI


Em 29 de março de 2011 17:32, Marcos Carraro <marcos.g.carraro@gmail.com> escreveu:

Boa Tarde Pessoal.

Estou desenvolvendo um firewall, minhas politicas padrões de input, output, forward, são drop..
Achei na internet algumas linhas que impeçam que port-scan detectem alguma porta aberta, ou possam escanear o server.

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

Mas o nmap consegue escanear, demora muito tempo, algo de 5 a 10 min, mas ele me retorna bem mais portas aberta, por ex:. 25,110, portas que eu não tenho nada na escuta, e no meu iptables so tenho liberado ssh e porta 80.

Alguem teria dicas para bloquear port-scan?

Muito Obrigado.

abraços



--
att
Marcos Carraro
Linux user #511627




Reply to: