Изпечатай

[dilyan]

значи проблема е следния: настройвам си Firewall-а доста рестриктивно, да кажем само ssh да пуска, после обаче не ми работи samba, прочетох да му пусна 139 порт ... хубаво, ма не мога да download-вам от хората, явно трябва и други портове да се пуснат ... не мога да send/receive файлове от kopete примерно и тем - подобни малки проблемчета. Та въпроса ми е: от къде да видя на коя програма кои порт и трябва? ще кажете /etc/services ама там е написано по-като за професионалисти ... де да знам че samba ползва netbios протокол .. пък за kopete да не говорим?

[Филип Бонев]

Ами човече трябва портовете от 1024:65535 да ги пуснеш да може да си правиш всичко и за sambaта обикновено може и да пуснеш 127:139,445, като ако пускасш 1024:65535 тея трябва да махнеш X ако искаш да е супер

Примерен код

iptables -A INPUT -p tcp --dport 127:139 -j ACCEPT iptables -A INPUT -p tcp --dport 445 -j ACCEPT iptables -A INPUT -p tcp --dport 1023:5999 -j ACCEPT iptables -A INPUT -p tcp --dport 6009:65535 -j ACCEPT

и същото с "-p udp"

Мога да ти предложа следното решение, което не претендира нито да е най-умното, нито най-сигурното:
Спираш огнената стена, пускаш приложенията, чиито портове те интересуват и почваш да си вършиш с тях ежедневната работа, за която ги ползваш. При което на помощ ти идва `netstat`. Пишеш `netstat -tuln` в конзолата и то ти показва кои са стартираните сървъри на твоята система и кои портове ползват. Ако сървърите не те интересуват пусни `netstat -tun`.
Едно кратко обяснение за опциите на netstat:
-t for TCP
-u for UDP
-l for listen
-n for numeric
Успех!

AZ samo 137:139 puskam za samabta i si raboti prekrasno '>

$cat /etc/services '>

useph '> i sorry za lat.

[ntenev]

Не се вманиачавай '>
Знам че принципно хората казват да забраниш всичко и да разрешип само това което ти е нужно ... но има и разни други нещица които се споменават ама по-рядко. За какво правиш firewall ? За да защитиш достъпа до определени услуги. А какви услуги имаш пуснати всъщност ? Има ли смисъл да забраняваш портове на които никой/нищо не слуша ?

nmap -sT -sU localhost

Това ще ти покаже какви мрежови услуги има пуснати на машината, защитавай тях ... останалите са защитени от това че не са пуснати '>

По принцип се работи с портове до номер 1024 (мисля че беше той). Това са портовете на които е прието по стандарт да слушат разни услуги. Пример:

web server - 80
ftp server - 21
mail - 25,110
dns - 53

и т.н. Една връзка освен по протокола, изпращач и получател се индетифицира и по портовете. Ако от твоята машина тръгнеш да търсиш web сайт заявката ти ще е насочена към порт 80, но от теб ще излиза на порт от типа 4367 или 3234 или бог знае кой. Въобще всяка заявка която излиза от теб е от някой такъв висок порт и няма някакво правило от кой стига да е по-голям от 1024. Та в този смисъл е голяма играчка такова ограничение. Ако все пак много настояваш за това ... пробвай със tcpdump на изходящия ти интерфейс да видиш от кой и към кой порт хвърчат заявките на всяко едно приложение което пускаш. Ама според не си струва усилието '>

Поздрави
Н. Тенев

[dilyan]

"Тома Неверни" съм си малко, но все пак да изясним едно нещо: може ли да ме "пробият" на произволен порт или не може? защото като пусна всички портове над 1024 ... аз съм си като разграден двор да му се не види, нямам отделна машина за Firewall и .. какво пазя на баба си килотите? ако може да ме пробият само до 1024 съм съгласен, но иначе има нещо сбъркано в цялата концепция.
http://kbserver.netgear.com/kb_web_files/n100495.asp тук намерих повечето портове необходими за това онова. не ме гони напразно параноята, просто искам защитен компютър + повечето неща работещи ... явно много искам '>

Параноята е хубаво нещо, но обикновенно е свързано с лишения. Ти обаче като гледам не искаш да търпиш такива.
Ето ти един прост пример. Искаш да работи самба. Ами ако някой намери бъг в тази услуга и възможност за пробив тогава, какво? Няма да я пускаш ли? Или ще я пускаш само от време на време '>
Всъщност по скоро трябва да си отговориш на въпроса до къде трябва да се простира защитата и дали имаш средствата и начините да откриеш, кога, къде и т.н са те пробили.
Въпроса, както винаги е сложен и никога няма еднозначен отговор '> Ей на вече го избих на философия и спирам да пиша глупости  '>

[Bogo]

Ами прегледай /etc/inetd.conf и виж за какви услуги слуша машината ти. Тези които не ги ползваш им сложи знака за коментар. Следи редовно /var/log и гледай дали правилно потребителите ползват услугите.

[sdr]

Идейка:
   Забрани SYN пакетите - така никой няма да може да установи връзка с машината ти но ти ще можеш да се свързваш от нея. Разбира се ако се каниш да ползваш SSH него трябва специално да го пускаш...
  Интересно би било при такава конфигурация дали ще могат да те ресолват по SMB, че няма да могат да те лист-ват и да теглят от тебе май е ясно освен ако ти не установиш първи връзка...

[dilyan]

много въпроси навлизат в малката ми главица ... казвате - щом не слушаш за определени услуги нямало проблем ?!?!? Ми хората тогава за какво слагат Firewall (?!?!?) просто да спират ненужните услуги и готово. пускам само ftp и дайте нищо да не слагам защото просто друго пуснато няма и само един порт е отворен .. поне така излиза според предните постове. Да, ама не - както казва Петко Бочаров. Логиката, че всичко което не е разрешено е забранено си е много на място! има fake IP има кофти юзери във вътрешната мрежа, има DoS атаки, има си нужда от огнена стена и това си е. лека полека събирам портовете които са ми нужни и после ще постна как съм се настройл. Абе то може да се види от линка в предния ми пост.

[ntenev]

Незнам точно как си ги представяш портовете и услугите ... ама явно има нещо което не съвпада. Пробвай в един browser да напишеш ip-то на машина която няма пуснат web сървър ... ще получиш отговор "connection refused" ... след като няма услуга която да слуша на съответния порт - нека атакуващия си атакува колкото иска.

Цитат

Логиката, че всичко което не е разрешено е забранено си е много на място!

Ами да ... ама замислял ли си се кое е това всичко ? Когато имаш ftp сървър и примерно 20 машини и искаш само 10 от тях да го виждат (примерно) тази логика е валидна. Казваш само за тези 10 accept за всички други (без значение кои) - drop и си изпълнил именно формула ... обаче да пазиш нещо, което не съществува ... едно че е безполезно, второ че само ненужно ти натоварва (колкото и малко да е) машината.

Портовете не са врати които трябва да заключиш ... по скоро си ги представи като файлове, които се активират ако някоя (вътрешна за машината) програма й трябват ... иначе си стоят и нищо не правят.

Отворен порт = Активирана мрежова услуга ... иначе се получава нещо от сорта на:

Външна машина:
- Ти ftp сървър ли си ?
Твоята машина:
- Не.
И всичко приключва до тук '>

Ако не вярваш на това ... ами питай колко човека са защитили с firewall порт 21 без обаче да имат ftp сървър.

Цитат

има fake IP има кофти юзери във вътрешната мрежа, има DoS атаки

Има да, но там защитата става по тип, вид и разни други характеристики на пакетите ... по портове се защитават услуги. Логика:
Имаш услуга -> имаш отворен порт -> защитаваш
Нямаш услуга -> нямаш отворен порт -> от това по-добра защита е само махането на мрежовия кабел '>

Това е. Поздрави.
Н. Тенев