|
|
|
ВНИМАНИЕ: Използвайте форумите на сайта за дa зададете вашите въпроси.
| Въпрос |
| От: !!! |
Дата: 04/29/2002 |
Port State Service
22/tcp open ssh
111/tcp open sunrpc
1024/tcp open kdm
6000/tcp open X11
22273/tcp open wnn6
22289/tcp open wnn6_Cn
22305/tcp open wnn6_Kr
22321/tcp open wnn6_Tw
tia poslednite portove 6to sa otvoreni i kak da gi razkaram
a drugite kak da gi filtriram
az sum s linux redhat7.2 i kde3 ako ima niakvo zna4enie
|
| Отговор #1 |
| От: Ivo (iak__at__grupov[ точка ]sex) |
Дата: 04/29/2002 |
tia poslednite gi opravih sega mi ostavat
22/tcp open ssh
111/tcp open sunrpc
1024/tcp open kdm
6000/tcp open X11
niakoi znae li kak da gi filtriram
predvaritelno
BLAGODARIA
|
| Отговор #2 |
| От: azo (Azazel__at__Slack-Ware __точка__ org) |
Дата: 04/29/2002 |
mmm... vij sa... ssh mojesh da go zatvorish mnogo lesno..
killall sshd
drug e vuprosa za surpc.. tam mojesh da napravish
slednoto..
ps aux ( moje i da stane sus "ps aux | grep sun" ama sega ne
sum si na pc-to i nz )
posle ubivash procesa s "kill -9 PID"
sled tova si razgledai scriptovete v /etc/rc.d/
za da mojesh kato si bootnesh RedHat-a da ne ti gi otvarq
tiq portove. V SlackWare trqbva da vidish /etc/rc.d/rc.inet2
i /etc/rc.d/rc.ssh ama za RedHat i za ostanalite portove
nemoga da ti pomogna. Lichno az kato se skaniram s Nmap mi
kazva che portovete sa in state: closed i ne moje da mi
opredeli OS-a shtoto nqma otvoreni portove i ne moje da
potvurdi :-). Ycnex!
|
| Отговор #3 |
| От: Н. Антонов |
Дата: 04/29/2002 |
Доста по-прост начин: linuxconf. Има Controll panel/Controll
service activity. Спираш portmap-сървъра (sunrpc), ssh и
всичко останало. Махаш отметката на автоматичното стартиране
и си готов. Друг е въпросът ако ти трябват, но не искаш да
са достъпни отвън. X11 - това ти е Х-а. kdm е
логин-мениджърът на KDE3.
Можеш да ги блокираш за съответния интерфейс (примерно ppp0
- модема за интернет). RH има firewall-config. А можеш и
ръчно да драснеш два реда с iptables. Кажи какво искаш точно
и ще ти дам един простичък пример за ефикасен firewall.
|
| Отговор #4 |
| От: !!! |
Дата: 04/29/2002 |
zna4i az sum s cable modem i i-neta e prez eth0
nali neshto be6e s iptables
|
| Отговор #5 |
| От: Н. Антонов |
Дата: 04/29/2002 |
Да. Една примерна поредица от команди:
iptables -F INPUT
iptables -P INPUT DROP
iptables -A INPUT -i ! eth0 -j ACCEPT
|
| Отговор #6 |
| От: !!! |
Дата: 04/29/2002 |
sorry ama mnogo ne mi e iasno zna4i kak da si filtriram port
111 kaji niakva komanda i she probvam
sorry pak 4e te tormozia no iskam i az da se nau4a :))
|
| Отговор #7 |
| От: Ludmil |
Дата: 04/29/2002 |
ipchains -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0
6000:6000 -p 6 -j DENY
Sastoto go pisesh i za drugite portove i sh badat filtered.
a otnosno ssh,sunrpc ima edno file v /etc/inetd.conf
porazgledai gi i sloji # pred redovete svarzasni s ssh i
drugite po toj nacin sh gi mahnesh total. Nadjvam se da
sam ti pomognal.
Vij ako moje njkoi da se vkluci po vaprosa za KDE3 ...
Uspeh ...
|
| Отговор #8 |
| От: Н. Антонов |
Дата: 04/29/2002 |
iptables са голяма наука, която за съжаление не владея. Но
ще ти обясня какво ознава това:
1. Първият ред премахва всички текущи настройки. Т.е.
изчиства дъската от таблици :)
2. Вторият ред определя политиката на поведение спрямо
входящите пакети. Тя е DROP - т.е отхвърли!
3. Третият ред казва следното нещо: пускай всички входящи
пакети, които не идват от eth0.
4. Четвъртият ред е най-важен и съм го забравил:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j
ACCEPT
Малко е по-солжно за обяснение: приемай всички входящи
пакети, които идват от вече установени връзки. Много важен
ред, без него нямаш нормален интернет.Просто ядрото ще
приема входящите пакети от връзки, които ти си отворил, и ще
блокира всички останали. Значи, ако искам отвън да се закача
за някои твой демон, няма да мога. Но ако ти установиш ftp
сесия с някой сървър и използуваш passive трансфер, ще можеш
да приемаш входящите пакети от тази връзка. Надявам се го
разбра :)
|
| Отговор #9 |
| От: !!! |
Дата: 04/29/2002 |
=======================================
#!/bin/sh
iptables - F
iptables -t nat -f
iptables -A INPUT eth0 -p tcp --dropt 22 -j DROP
=======================================
tva si go pisal predi ama neshto ne mi e iasno kak da
napravia faila v koito sum go seivnal aktiven da mi e zelen
kato napi6a ls da prbvam s tva moje da stane
|
| Отговор #10 |
| От: !!! |
Дата: 04/29/2002 |
[root@!!! root]# iptables -A INPUT eth0 -p tcp -dropt 6000
-j
DROP
Bad argument `eth0'
Try `iptables -h' or 'iptables --help' for more
information.
[root@!!! root]#
|
| Отговор #11 |
| От: Н. Антонов |
Дата: 04/29/2002 |
Значи, виж сега. Начините за решение са много. Този, който
ти предлагам, е прост и ефикасен. Това са правила, които
важат само за входящите пакети и за eth0 интерфейса. Няма
защо да описваш всеки порт и всяка услуга. Блокираш всички
наведнъж със задаването на политика DROP. След това можеш
един по един да отваряш тези, които искаш да са достъпни
отвън. Примерно:
iptables -A INPUT -i eth0 -p tcp --dport 80 -22 state
--state NEW -j ACCEPT
Това е firewall на базата на правила за състояния - една
функция, която се поддържа от ядрата 2.4 и се управлява с
iptables. ipchains са по-примитивни и засягат 2.2 ядрата.
А за даго направиш изпълним файл, използувай:
chmod +x name_of_the_file
Или с mc можеш да му зададеш права за изпълнимост с помощта
на меню.
|
| Отговор #12 |
| От: Н. Антонов |
Дата: 04/29/2002 |
Внимавай в синтаксиса. Преди eth0 имаш -i (интерфейс).
|
| Отговор #13 |
| От: Н. Антонов |
Дата: 04/29/2002 |
Извинявай, от бързане съм сбъркал последния ред:
iptables -A INPUT -i eth0 -p tcp --dport 22 - m state
--state NEW -j ACCEPT
Означава: приемай входящите пакети от неустановени още
връзки през порт 22 (ssh).
|
| Отговор #14 |
| От: !!! |
Дата: 04/29/2002 |
6e se karame :))))
|
| Отговор #15 |
| От: Н. Антонов |
Дата: 04/29/2002 |
Да бе. Еми... цяла ден на бачкане...
Значи, на - m нямаш интервал. Това е -m. Въобще такъв е
принципът.
|
| Отговор #16 |
| От: !!! |
Дата: 04/29/2002 |
lele lele to si eba maikata gledai samo
/lib/modules/2.4.7-10/kernel/net/ipv4/netfilter/ip_tables.o:
init_module: Device or resource busy
Hint: insmod errors can be caused by incorrect module
parameters, including invalid IO or IRQ parameters
/lib/modules/2.4.7-10/kernel/net/ipv4/netfilter/ip_tables.o:
insmod
/lib/modules/2.4.7-10/kernel/net/ipv4/netfilter/ip_tables.o
failed
/lib/modules/2.4.7-10/kernel/net/ipv4/netfilter/ip_tables.o:
insmod ip_tables failed
iptables v1.2.3: can't initialize iptables table `filter':
iptables
who? (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
gotino edin port da ne moje da si zatvori 4ovek to sled
malko 6e iska i linuxa da si smenia :))))
|
| Отговор #17 |
| От: !!! |
Дата: 04/29/2002 |
v momenta teglia iptables lastest
|
| Отговор #18 |
| От: Никола Антонов (pcradio__at__netbg< dot >com) |
Дата: 04/30/2002 |
Проблемът ти и идва от друго. Преди това явно си пробвал да
правиш нещо с ipchains. След това не става дап робваш
iptables, защото ресурсите са заети. Трябва да разкараш
ipchains-модулите от паметта с rmmod.
|
| Отговор #19 |
| От: zz |
Дата: 11/21/2005 |
ponqkoga insmod ne srabotwa za towa ima alternativa modprobe
to mai e edno i sushto :)
|
<< liquid (1
) | VMWare, Mykaaa...... (7
) >>
|
|
|
|
|
|
