|
|
|
ВНИМАНИЕ: Използвайте форумите на сайта за дa зададете вашите въпроси.
| Въпрос |
| От: EMO |
Дата: 03/23/2002 |
Zdraveite.
Interesyva me kak moga da zatvorq daden port, bez da
promenqm faila /etc/serices. Primerno dali ima neshto
podobno kato ifconfig eth0 down i sled tova ifconfig eth0
up.
Blagodarq predvaritelno.
|
| Отговор #1 |
| От: :)) |
Дата: 03/23/2002 |
Zdrasti.
extra,extra ia kaji koi port ti e otvoren i IP na mashinkata
kaji. Kato kajesh tova shte ti kaja kak da si zatvorish
porta :P
Zdrave da e.
|
| Отговор #2 |
| От: milen |
Дата: 03/24/2002 |
;-) tva pak kvo beshe? e, na men mi e otvoren 13 ,
zapoviadaj...
shto ti e da "zatvarash " port ? i kvo razbirash pod tva?
ako iskash da ne se zakachva nikoj otvun na tozi port -
prosto ne puskash nikakav demon tam.. i tva e.
porta sam po sebe si ne moze da e otvoren ili zatvoren -
moze da ima slushashta na nego usluga ili da nema nikoj
kojto da prieme vruzkata.
viz, ako iskash da ne pozvolish na tvoite useri da puskat
services na opredeleni portove i t.n.
mozesh da filtrirash portove - za vhodiashti i izhodiashti
vruzki
man iptabs ili man ipchains .
|
| Отговор #3 |
| От: Н. Антонов (pcradio (a) netbg< dot >com) |
Дата: 03/24/2002 |
Когато става дума за портове, трябва да знаем, че те имат
три състояния - отоворен, затворен и блокиран. Един порт
може да е отворен и едновременно с това да е блокиран. Както
и ако е затворен, това не означава, че е блокиран. Ако искаш
да блокираш даден порт и даден тип връзки, трябва да
използуваш iptables (за ядрото 2.4.x). След като ги
инсталираш, можеш да приложиш един подобен скрипт:
=======================================
#!/bin/sh
iptables - F
iptables -t nat -f
iptables -A INPUT eth0 -p tcp --dropt 22 -j DROP
=======================================
Така порт 22 (на който слуша sshd и е отворен) е блокиран за
входящи връзки през интерфейса eth0. Това е логиката. Ако
искаш да изградиш по-сложни защитни стени,пиши ми на мейла,
можем да измислим нещо.
|
| Отговор #4 |
| От: milen |
Дата: 03/24/2002 |
Anronov, tuka ne sam sahlasen s teb.
Tsitiraj mi RFC kadeto se govori za termina "otvoren"port.
vprochem ti sam go kzvash po -dolu -"kadeto slusha ssh"
t.e. edin por moze da se polzva ili moze da ne se polzva
ot dadena serverska usluga. i v dobavka na tva mozesh da
go filtrirash, koeto si e rabota na savsem otdelen
software.
v sluchaja iptables, no ima i suma ti komersialen i free
fitrirasht soft i hardware.
ta ideata e che port ne se "zatvara" - prosto ne go polzvash
ako ne iskash. a ako iskash da si siguren che i nikoj ot
tvoite hora nema da go polzva - togava go filtrirash. btw,
kogato nmap ti kaze "open" tva oznachava tochno tva - che na
tozi port _slusha_ neshto.
dobre e da se izkoreni taja zabluda i losha terminologia,
za "otvorenite" i "zatvoreni " portove , stoto vodi do
izkrivena predstava za tva sto e port pri nachinaeshtite
useri. osven tva , "otvoren" (t.e. izpolzvan) port ne znachi
che si si ostavil komputara otvoren za vunshnia svet.tva e
drugata golema zabluda - vizte kolko otvoreni porove ima,
taja mashina ne e sigurna. zavisi do kolko stabilno i
sigurno rabotat serverite na tezi portove.
naprimer za irc i telnet ne sam chuval da ima exploiti, t.e.
greshki, koito da ti pozvolat da pravish drugi neshta , a ne
tezi za koito sa prednaznacheni tezi uslugi.
za razlika ot ssh, deto vseki mesets izliza nekoj exploit,
kakto vseka mlada programa. ili tselata tam grupichka
portove v nachaloto daytime, i t.n. - absolutno bezobidni.
ta tva e ... nema loshi portove, ima loshi programi.
e, da ne zabravame za pravata na purvite 1023 porta , ako
servercheto ne e dobre napisano, po dobre da bachka na
po-gornite , bez vazmoznost za root prava.
s 2 dumi za EMO:
ako ne ti trebva nekoja usluga, iskash da "zatvorish" tozi
port na servera si, prosto spirash uslugata. ot kadeto i da
e, napr. ot /etc/inetd.conf sa povecheto. da ne bachka,
netstat -na da ne ti dava LISTENING na tozi port.
ako iskash dadena usluga da vavi , no samo vav vutreshnata
ti mreza, i izobshto samo za nekoi komputri , ili kakvito i
da sa chashtichni ogranichenia , naprimer da si polzvash
sambata i windowskata mreza (138,139) samo vav vutreshnata
mreza, si pravish filtara(firewall) na routera sas iptabs
ili ipchains ili neshto drugo tam, kvoto imash, ako si s
bsd ili windows.
tva e. egati postinga stana ;)
|
| Отговор #5 |
| От: Н. Антонов (pcradio __@__ netbg __точка__ com) |
Дата: 03/24/2002 |
Има резон в терминологичната ти забележка, но за съжаление
ние просто превеждаме буквално английските изрази и не се
замислямае за по-добри. Все пак, не знам как би било
по-добре да се каже, а и не съм експерт по мрежова
сигурност, за да звуча авторитетно :-) Но нали, в крайна
сметка, има състояние, при което на даден порт може да слуша
някой сървър, но дъплнителният софтуер, който извършва
пакетно филтриране, да крие порта за nmap и да не може да се
разбере дали е отворен (или както искаш го наричай) или
затворен). На това състояние му викаме блокиран, нали така?
Тогава дадената услуга става направо невидима за външви очи.
А бе няма значение, наистина, по-незащитените услуги - като
X например, трябва да отиват на портове с по-високи номера,
а неизползуваните портове са синоним на затворени.
Да, егати постинга... :-)
|
| Отговор #6 |
| От: Ivo |
Дата: 03/24/2002 |
vie ste bolni :)))))))
|
| Отговор #7 |
| От: lx |
Дата: 03/24/2002 |
kill -9 `socklist | awk '{print $5}' | grep -v pid` atanasov, s celia si respekt - postvai togava kogato imash naistina kakvo da kajesh, a ot udovolstvieto da si vidishimeto pak.
|
<< ? kam hint za instal na Slackware8.0 (1
) | zatvarqne na port (0
) >>
|
|
|
|
|
|
