Изпечатай

[VladSun]

Цитат (GattaNegra @ Април 11 2006,13:02)

-A FORWARD -i eth0 -m state --state RELATED -j DROP

мисля, че това не е добра идея (доколкото разбирам прехвърляш нет и към други ПЦ-та зад тебе).

Това, което съм чел е, че порт 113 трябва да може да приема заявки (не да ги DROP, а да REJECT), защото някои сърверни приложения с определени настройки (мисля, че IRC прим.) отказват достъп до услугата, ако не получат някакъв отговор от ident port-a.
А и в общия случай мисля, че е по-добре да ACCEPT-ваш RELATED пакетите.

[GattaNegra]

Цитат (VladSun @ Април 11 2006,16:52)

-A FORWARD -i eth0 -m state --state RELATED -j DROP

мисля, че това не е добра идея (доколкото разбирам прехвърляш нет и към други ПЦ-та зад тебе).

Това, което съм чел е, че порт 113 трябва да може да приема заявки (не да ги DROP, а да REJECT), защото някои сърверни приложения с определени настройки (мисля, че IRC прим.) отказват достъп до услугата, ако не получат някакъв отговор от ident port-a.
А и в общия случай мисля, че е по-добре да ACCEPT-ваш RELATED пакетите.не за сега няма други машини зад тази - приложенията заради които така ти се е сторило са инсталирани с опитна цел .
със и без този ред
-A FORWARD -i eth0 -m state --state RELATED -j DROP
си ползвам IRC  като слънце '> защото съм задала естествено и -A FORWARD -i eth0 -m state --state ESTABLISHED -j ACCEPT.  без него наистина нямах irc.
a 113 ... задала съм
-A INPUT -p tcp -s 127.0.0.1 -i eth0 --dport 113  -j ACCEPT
-A INPUT -p tcp --dport 113 -j DROP
обаче той все така си стои отворен и ме нерви . мани ги ти тия, кажи ми за
12345/tcp filtered NetBus
12346/tcp filtered NetBus
17300/tcp filtered kuang2
27374/tcp filtered subseven
27665/tcp filtered Trinoo_Master
че са ми по-интересни '>))

GattaNegra, това че ircd-тата които ползваш не ти отказват да се логнеш след като нямат достъп до identd-a ти не означава, че всичките ircd-ta са такива.

Като изключим това, най-вероятно и ftp-трансферите ще си го отнесат, освен което понякога ще се случи да се върне някоя ICMP грешка и клиентът зад твоя НАТ няма да го разбере (ъхм,това което веднага се сещам като последствие е че един клиент зад твоят НАТ ще разбере доста по-бавно ако услугата, с която се опитва да се свърже е спряна - не че е големия проблем де)

Тези портове, която толкова те учудват са резултат от това, че firewall-a при доставчика на твоя приятел ги дропва. Това са добре известни портове асоцирани с разни уиндоуски троянци там и хората са предпочели да си спестят тарапаната ако някой извън тяхната мрежа вземе че затрие харддиска на някой техен "троянизиран" клиент.

Ще го обясня пак накратко: да речем че нямаш нито един филтриран порт. Твоят приятел стои зад НАТ-а на доставчика си и иска да сканира да речем точно този странен порт - 12345. Нека накратко само да опиша как протича една примерна tcp комуникация между две машини:

1) клиента изпраща към сървъра TCP пакет със вдигнат SYN флаг.
2) server-a отговаря с TCP пакет с вдигнати SYN и ACK флагове
3) клиента отговаря с TCP пакет с вдигнат ACK флаг

--- в този момент връзката се счита за установена. Ако от сървърна страна слушащия демон лог-ва, то тази установена връзка се лог-ва, демона съответно си изкарва там каквито трябва login банери или бог знае кво и т.н...

Съответно какво прави nmap: както си забелязала сканирането на един порт става много по-бързо отколкото телнет-ването към него + което се получава "странния" ефект че демона не лог-ва никакъв опит за връзка. Защо става така е лесно обяснимо. Ето как преминава простото порт-сканиране (syn-scan):

1) nmap праща към "сървъра" TCP пакет с вдигнат SYN флаг.
2) Тука има няколко варианта какво се случва:
вариант 1: Сървъра си мисли, че клиента иска да установи връзка, при което връща TCP пакет със вдигнати SYN/ACK. nmap казва "аха, значи порта е отворен"
вариант 2: Нищо не слухти на този порт на сървъра. Неговият tcp/ip стек връща един ICMP destination port unreachable пакет. nmap казва "аха, значи порта е затворен"
варинат 3: минава известно време и няма ни вест, ни кост от сървъра. nmap си казва "аха, значи тоя порт най-вероятно е филтриран"

Сега да се върнем на това което се случва с твоят приятел, който те сканира. На firewall-a на неговият доставчик са филтрирани портове 12345,12346 и т.н. Като си пусне nmap-a и той тръгне да ти сканира някой от тях става следното:

1)приятелят ти пуска един TCP пакет с вдигнат SYN
2) firewall-a на доставчика му дроп-ва този пакет и не го препраща нататък (съответно и да имаше кой да слухти на твоята машинка на този порт, просто пакетът нямаше да си пристигне до целта)
3) nmap-a на твоят приятел чака, чака, нищо не пристига като отговор  и накрая казва "аха, значи на машинката, която сканирам този порт очевидно е филтриран"

Само че в случая, при теб той не е филтриран. Филтриран е при защитната стена на доставчика му.

Надявам се сега ти се изясни '>

[GattaNegra]

gat3way надявам се не си се нервирал/а много ,  извинявам се на всички че ви занимавам с глупости  просто се шашнах .
съжалявам че ви загубих времето  и много благодаря за отзивите

[GoodT]

А Portsentry имате ли инсталиран? -Защото ,ако е така ,той праща  лъжливи данни на скенерите. '>
"Ako не ти помогне умната, то и русата няма да може ." -Понякога стават чудеса. '>

[GattaNegra]

Цитат (GoodT @ Април 11 2006,21:46)

А Portsentry имате ли инсталиран? -Защото ,ако е така ,той праща  лъжливи данни на скенерите. '> "Ako не ти помогне умната, то и русата няма да може ." -Понякога стават чудеса. '>

portsentry нямам . четох , са не помня линка, че то пречи на нмап и още 5 сканиращи инструмента.
а за русата ... да дойде да ми оправи компа като може, щото аз съм умна ма нещо не мога ... и тогава може и да се замисля над думите ти .

Абе аз съжалявам, не исках да звучи като каране '>

Хахах , когато пускаш нмап от машана на кабел разстояние от сканираната тогава му вервай , нали се сещаш, че трафика ти минава през 3-4-5-6-7-7-8 рутера на които има едни АЦЛ-и които поорезват отвреме на време някои нещица от рода на тсп портнове 139 , 445 и т.н.