From: Roman S <rromas@mailru.com> To: mandrake-russian@linuxteam.iplabs.ru Subject: Re: [mdk-re] âÅÚÏÐÁÓÎÏÓÔØ Date: Thu Jan 4 16:26:00 2001 Message-ID: <200101041332.f04DW2s81343@www1.mailru.com> (raw) Цитирую Michael Bykov <mediacom@capital.ru>: > Господа, > > подскажите, пожалуйста, как закрыть эти порты, и что такое iad 1,2,3? И > зачем > они открыты по-умолчанию? Опасно ли это? А хрен, его знает, кто такие эти IAD-ы. Запусти netstat с указанием процесса, который их держит. > 111/tcp open sunrpc Должно быть ещё и по UDP, обычно нафиг не нужно. > 113/tcp open auth identd лучше вообще выключить, если он явно не нужен. > 515/tcp open printer Если не надо раздавать принтер всем :) > 617/tcp open unknown Посмотрите, кто держит порт > 1024/tcp open kdm > 1025/tcp open listen > 1026/tcp open nterm > 1030/tcp open iad1 > 1031/tcp open iad2 > 1032/tcp open iad3 > 3306/tcp open mysql В общем, как поступаю я: По непонятным причинам (или я дурак) в Mandrake нет скрипта, инициирующего правила ipchains по умолчанию. Есть конечно linuxconf, но как-то гаденько там всё, к тому же linuxconf активируется после поднятия сетевого интерфейса - а это дыра. 1) Выдираем скрипт инициализации правил из документации 2) Помещаем его в /etc/rc.d/init.d 3) делаем сим. ссылки SNN<скрипт> на этот скрипт в каталогах с нужными runlevel, NN должен быть меньше, чем у network. 4) Внимательно читаем документацию по ручной настройке и тут же её забываем нафиг, ибо оно неудобно и ненаглядно. 5) запускаем gfcc (Gnome Firewall Control Center) если нет - ставим его (с 3-го диска или со свежего мяса) 6) Определяем в gfcc, что есть localhost. 7) В нашем случае критичны закладки input и output - соотв. для входящего и исходящего трафика. Делаем такого вида: input: from (!localhost) ports (0-65535) to localhost (порты, которые прикрываем) протокол (tcp|udp) действие REJECT output: from (localhost) ports (какой-не-надо) to ! localhost ... REJECT Сформируем таким образом правила блокировок (какие они должны быть - песня отдельная, достаточно нудная и индивидуальная) Шмякаем пимпочку apply to system. Проверяем результат. Если понравилось - выполняем ipchains-save >/etc/ipchains.rules. При загрузке его подхватит скрипт инициализации брандмауэра. Ну, естественно, внесите поправку на то, что закрываете - это может быть не localhost, а ваша сетка... Roman Savelyev
next reply other threads:[~2001-01-04 16:26 UTC|newest] Thread overview: 4+ messages / expand[flat|nested] mbox.gz Atom feed top 2001-01-04 16:26 Roman S [this message] 2001-01-09 22:27 ` [mdk-re] Re: [mdk-re] Безопасность Michael Bykov 2001-01-10 0:55 ` [mdk-re] Re: [mdk-re] âÅÚÏÐÁÓÎÏÓÔØ Roman S 2001-01-10 3:17 ` [mdk-re] Re: [mdk-re] Re: [mdk-re] Безопасность Dmitry V. Levin
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=200101041332.f04DW2s81343@www1.mailru.com \ --to=rromas@mailru.com \ --cc=mandrake-russian@linuxteam.iplabs.ru \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git