Показать полную графическую версию : ipchains, проблема с закрытием портов
Извиняюсь за ламмерский вопрос, но решения я нигде в инете и man-ах так и не нашёл. Стоит ASPLinux. Вхожу в интернет и через консоль набиваю "nmap [айпишник установленный провайдером при соединении] " Оказывается, что у меня открыто около 35 портов.
1/tcp open tcpmux
11/tcp open systat
15/tcp open netstat
22/tcp open ssh
25/tcp open smtp
79/tcp open finger
111/tcp open sunrpc
...
и т.д. до
...
32773/tcp open sometimes-rpc5
32774/tcp open sometimes-rpc11
54320/tcp open bo2k
Почему между между 79-м и 111-м портом нет 80-го, как же я тогда хожу через интернет, настраивая прокси на 80-й порт? Это первый вопрос.
Далее, насколько я правильно понял, мне нужно запретить доступ по некоторым открытым портам. Допустим, я хочу запретить доступ через первый. Набираю:
./ipchains -A input -d 0/0 1 -p tcp -j DENY
Затем опять набираю nmap 123.x.x.x и вижу что порт остался открытым. Что я сделал неправильно?
Barracuda
18-10-2003, 21:26
Guest
Чёт ничего не понял. Кого и с какого адреса сканируем. На чём прокси сидит (да, а порт лучше делать отличный от 80-го, 3128 например :)).
Сколько у вас интерфейсов на машине?
Если честно, то я сам никак не могу разобраться. При дозвоне в инет мне выделяется адрес, допустим, 123.45.67.89. Дозваниваюсь, захожу в терминал, набиваю
#nmap 123.45.67.89
После чего мне выдаёт:
(The 1530 ports scanned but not shown below are in state: closed)
Port State Service
1/tcp open tcpmux
11/tcp open systat
15/tcp open netstat
22/tcp open ssh
79/tcp open finger
111/tcp open sunrpc
119/tcp open nntp
143/tcp open imap2
540/tcp open uucp
635/tcp open unknown
1024/tcp open kdm
1080/tcp open socks
1524/tcp open ingreslock
1723/tcp open pptp
2000/tcp open callbook
6000/tcp open X11
6667/tcp open irc
12345/tcp open NetBus
12346/tcp open NetBus
27665/tcp open Trinoo_Master
31337/tcp open Elite
32771/tcp open sometimes-rpc5
32772/tcp open sometimes-rpc7
32773/tcp open sometimes-rpc9
32774/tcp open sometimes-rpc11
54320/tcp open bo2k
Насколько я понял, это список открытых портов на мою машину? Нужно ли их все оставлять открытыми или лучше оставить один-два? Но тогда каких, и как организовать связь с внешним миром? Может быть есть доки на эту тему, но только я ничего так и не нашёл понятного.
Guest 80 247 100
20-10-2003, 09:36
я бы написал
-A input -s 0/0 -d 123.45.67.89/255.255.255.255 -p 6 -j DENY
хотя разниц наверно нет...
Guest 80 247 100
Всё пустое... блокируй - не блокируй по интерфесу ppp0, а nmap всё равно показывает эти порты как открытые... Что же я неправильно сделал?
Guest 80 247 100
21-10-2003, 08:35
ну а что показывает ipchains -L
показывает ли твои правила
Guest 80 247 100
Правила показывал, но толку не было.
Тем не менее, я проблему решил. Видимо, настройка ipchains конфликтовала с брандмауером LnxFire, только не знаю каким образом. Мне нужно было лишь выгрузить из памяти LnxFire и настроить ipchains заново. Я настроил всё таким образом:
# ./ipchains -A input -s 0/0 -p tcp -y -j DENY
# ./ipchains -A input -s 0/0 80 -p tcp -j ACCEPT
# ./ipchains -A input -s 0/0 21 -p tcp -j ACCEPT
# ./ipchains -A input -s 0/0 110 -p tcp -j ACCEPT
# ./ipchains -A input -s 0/0 5190 -p tcp -j ACCEPT
# ./ipchains -A input -s 0/0 6667 -p tcp -j ACCEPT
# ./ipchains -A input -s 0/0 53 -p tcp -j ACCEPT
# ./ipchains -A input -s 0/0 53 -p udp -j ACCEPT
# ./ipchains -A input -s 0/0 -p tcp -j DENY
# ./ipchains -A input -s 0/0 -j DENY
Всё указано в той последовательности, в которой я задавал правила. Возникают, правда, иногда сложности с ftp-шной программой. Она начинает запрашивать данные по порту 55639. Не знаю - открывать или нет.
Почитай книгу р.Зиглер "Брандмауры в линукс" - многое станет понятно..
_________________
by sergleo
Guest 80 247 100
29-10-2003, 08:02
настройка ipchains конфликтовала с брандмауером LnxFire
мда...
Guest 80 247 100
Я что-то не так сказал? Пристите уж ламмера.
Чтение книг по настройкам, конечно, полезная вещь, только времени на это уходит много :-((
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.