From: Roman S <rromas@mailru.com>
To: mandrake-russian@linuxteam.iplabs.ru
Subject: Re: [mdk-re] âÅÚÏÐÁÓÎÏÓÔØ
Date: Thu Jan 4 16:26:00 2001
Message-ID: <200101041332.f04DW2s81343@www1.mailru.com> (raw)
Цитирую Michael Bykov <mediacom@capital.ru>:
> Господа,
>
> подскажите, пожалуйста, как закрыть эти порты, и что
такое iad 1,2,3? И
> зачем
> они открыты по-умолчанию? Опасно ли это?
А хрен, его знает, кто такие эти IAD-ы.
Запусти netstat с указанием процесса, который их
держит.
> 111/tcp open sunrpc
Должно быть ещё и по UDP, обычно нафиг не нужно.
> 113/tcp open auth
identd лучше вообще выключить, если он явно не нужен.
> 515/tcp open printer
Если не надо раздавать принтер всем :)
> 617/tcp open unknown
Посмотрите, кто держит порт
> 1024/tcp open kdm
> 1025/tcp open listen
> 1026/tcp open nterm
> 1030/tcp open iad1
> 1031/tcp open iad2
> 1032/tcp open iad3
> 3306/tcp open mysql
В общем, как поступаю я:
По непонятным причинам (или я дурак) в Mandrake нет
скрипта, инициирующего правила ipchains по умолчанию.
Есть конечно linuxconf, но как-то гаденько там всё, к
тому же linuxconf активируется после поднятия сетевого
интерфейса - а это дыра.
1) Выдираем скрипт инициализации правил из документации
2) Помещаем его в /etc/rc.d/init.d
3) делаем сим. ссылки SNN<скрипт> на этот скрипт в
каталогах с нужными runlevel, NN должен быть меньше,
чем у network.
4) Внимательно читаем документацию по ручной настройке
и тут же её забываем нафиг, ибо оно неудобно и
ненаглядно.
5) запускаем gfcc (Gnome Firewall Control Center) если
нет - ставим его (с 3-го диска или со свежего мяса)
6) Определяем в gfcc, что есть localhost.
7) В нашем случае критичны закладки input и output -
соотв. для входящего и исходящего трафика.
Делаем такого вида:
input:
from (!localhost) ports (0-65535) to localhost (порты,
которые прикрываем) протокол (tcp|udp) действие REJECT
output:
from (localhost) ports (какой-не-надо) to !
localhost ... REJECT
Сформируем таким образом правила блокировок (какие они
должны быть - песня отдельная, достаточно нудная и
индивидуальная)
Шмякаем пимпочку apply to system.
Проверяем результат.
Если понравилось - выполняем ipchains-save
>/etc/ipchains.rules.
При загрузке его подхватит скрипт инициализации
брандмауэра.
Ну, естественно, внесите поправку на то, что
закрываете - это может быть не localhost, а ваша
сетка...
Roman Savelyev
next reply other threads:[~2001-01-04 16:26 UTC|newest]
Thread overview: 4+ messages / expand[flat|nested] mbox.gz Atom feed top
2001-01-04 16:26 Roman S [this message]
2001-01-09 22:27 ` [mdk-re] Re: [mdk-re] Безопасность Michael Bykov
2001-01-10 0:55 ` [mdk-re] Re: [mdk-re] âÅÚÏÐÁÓÎÏÓÔØ Roman S
2001-01-10 3:17 ` [mdk-re] Re: [mdk-re] Re: [mdk-re] Безопасность Dmitry V. Levin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=200101041332.f04DW2s81343@www1.mailru.com \
--to=rromas@mailru.com \
--cc=mandrake-russian@linuxteam.iplabs.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git