|
|
ВНИМАНИЕ: Използвайте форумите на сайта за дa зададете вашите въпроси.
Въпрос |
От: Veleslava Abadjieva |
Дата: 03/21/2004 |
като пусна nmap kym localhost poluchavam tova:
PORT STATE SERVICE
25/tcp open smtp
80/tcp open http
111/tcp open rpcbind
139/tcp open netbios-ssn
443/tcp open https
445/tcp open microsoft-ds
719/tcp open unknown
2121/tcp open ccproxy-ftp
3306/tcp open mysql
kakva e komandata, ako iskam da zatowrq tova:
445/tcp open microsoft-ds
i zashto podqvolite na mandrake 10 izliza neshto s microsoft
vytre?
|
Отговор #1 |
От: storm |
Дата: 03/21/2004 |
бейби пиши ман на Iptables ... и действай .... :) ако не
разбереш . обади се мен - ще ти покажа у нас на личен пример
:)))))))))))
|
Отговор #2 |
От: Plamen |
Дата: 03/21/2004 |
Този порт ти го отваря самбата (3.х).Има го за да е
съвместима с всяка windows машина в мрежата, а и все пак
самба 3.х може много повече от 2.х.Ако не ти трябва порт
445, можеш да го затвориш, като добавиш в smb.conf в
[Global]:
smb ports = 139
по default е smb ports = 445, 139, ама като няма кой да
прочете в man smb.conf :(
Успех!
|
Отговор #3 |
От: Н. Антонов (nikola__at__linux-bg[ точка ]org) |
Дата: 03/21/2004 |
Спазвай слеездната процеедура:
1. Проверяваш наа ккой порт коя програма слуша::
netstat -antp
2. Спираш съответната услуга, която може да се стартира
самостоятелно (standalone) или чрез inetd.
3. Ако някоя услуга ти е необходима, можеш да контролираш
достъпа до нея чрез iptables.
BTW, ако имаш нужда от пуснат MySQL, но не предоставяш
отдалечен достъп до конзолата му, включи в my.cnf опцията
skip-networking. Така ще престане да слуша на TCP порт
3306.
|
Отговор #4 |
От: Григор Лекаров (hammerfall__at__bitex__dot__bg) |
Дата: 03/21/2004 |
Значи в inetd.conf слагаш # пред реда с smbd и проблема се
решава. Ако не ти се занимава с това направи следното:
В един скрипт слагаш тези четири реда:
iptables -F INPUT
iptables -F FORWARD
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 1025: -j ACCEPT
с първия ред блокираш всички портове а с последния
разрешаваш дотъпът си над 1025 порт навън. Много внимавай с
ползванто на sport и dport. За повече инфо в man iptables.
Иначе това което Ники ти е казал е в сила така, че няма да
го повтарям.
Услех!!!
|
Отговор #5 |
От: Григор Лекаров (hammerfall (a) bitex< dot >bg) |
Дата: 03/21/2004 |
Кратко допълнение...
Прочетох и предишния ти постинг та тогава ще трябва да си
добавиш още едно правило ако ще вдигаш веб-сървър.
Преди iptables -A INPUT -i eth0 -p tcp --dport 1025: -j
ACCEPT е добре да добавиш и това:
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
или портът, на който ще ти слуша сървъра. Скрипта го пускаш
да се стартира при инициализация на системата и готово.
Ако не спреш услугите от inetd.conf а само ги забраниш в
iptables имай на предвид, че с портскенер към localhost те
пак ще са отворени, но просто няма да се виждат отвън.
Още веднъж ти пожелавам успех!!!
|
Отговор #6 |
От: lib |
Дата: 03/21/2004 |
Malko utochenie na dadenite primeri ot Grigor. Znachi s tozi
primer nqma da se poluchi nishto. S opciqta -F pochistvash
dvete verigi no nikude ne gi zatvarqsh, t.e. te po default
sa ti ACCEPT, koeto pravi bezsmisleni pravilata s -j ACCEPT.
Drugoto koeto e verigata FORWARD nqma nishto obshto s
connectvaneto ti kum localnitq proces na mashinata.
neobhodimi sa ti samo pravila v verigata INPUT. Ako
suotvetniqt server e samo s edna karta, kakto e v povecheto
sluchai i ne izvurshva routing e dobre ip_forwarding-a da ne
bude pusnai i moje i verigata FORWARD da bude DROP bez
nikakvo ACCEPT pravilo. Drugoto koeto e kogato vmikvash
pravila v INPUT, FORWARD ili OUTPUT te se vmukvat v
tablicata filter i ne e neobhodimo da pishesh -t filter, tui
kato tq e po default. Po princip se nalaga da se pishe -t
kogato pishesh pravila v tablicata nat, mangle i t.n. Ako
web servera e s edna mrejova karta opcii -i i -o sa ti
napulno izlishni.
|
Отговор #7 |
От: Veleslava Abadjieva |
Дата: 03/23/2004 |
хммм...
г-н Н. Антонов, ако затворя 3306 не рискужам ли изобщо да
остана без MySQL? Преди имах подобен проблем с Postgress -
проработи едвам след като му казах да слуша на TCP
|
Отговор #8 |
От: Григор Лекаров (hammerfall< at >bitex __точка__ bg) |
Дата: 03/24/2004 |
lib 10x за подсещането наистина съм забравил да написха
самото затваряне да портовете. Та зханчи за да ги затвориш
веригите използваш това:
iptables -P INPUT DROP
iptables -P FORWARD DROP
както казваш FORWARD няма нищо общо с локалния процес, но
ако машината се използва за router? Що се отнася до -t това
вече е въпрос на предпочитание. Аз си го пиша винаги за
прегледност. Така много лесно се четат правилата. Това си е
вече въпрос на стил.
Във връзка с въпроса на Veleslava Abadjieva. skip-networking
ти оставя стартиран MySQL-а но просто не го извежда да слуша
на default порта. До него винаги умаш достъп като напишеш за
connect localhost. Ако MySQL-а не си се налага да го ползваш
през мрежата тогава това е най-добрия вариант от гледна
точка на security. Например Дебиан MySQL-а е настроен точно
така. А и предполагам ще искаш да го ползваш със някой
скриптов език след като ще вдигаш web-server. Тогава за
connect към сървъра си задаваш както по-горе споменах
localhost и име и passwd на user-а които е предназначен за
достъп до server-а през web.
Успех!!!
|
<< Dock-ване (0
) | вебхостинг - кой админ панел е по-добър? (2
) >>
|
|
|
|
|