* [Comm] Закрыть порт снаружи
@ 2003-04-02 9:37 Andrey Brindeew
2003-04-02 10:10 ` [Comm] " Artem K. Jouravsky
` (2 more replies)
0 siblings, 3 replies; 9+ messages in thread
From: Andrey Brindeew @ 2003-04-02 9:37 UTC (permalink / raw)
To: ALT Linux community
[-- Attachment #1: Type: text/plain, Size: 1198 bytes --]
Hi!
Как закрыть 53-й порт снаружи в iptables? Мне не удалось повесить pdnsd
на два интерфейса (127.0.0.1 и 192.168.1.1), получается либо только на
один интерфейс, либо на все.
Вот что выводит sudo ipchains --list :
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp spt:bootpc dpt:bootps
ACCEPT tcp -- anywhere anywhere tcp spt:bootpc dpt:bootps
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc
ACCEPT tcp -- anywhere anywhere tcp spt:bootps dpt:bootpc
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 192.168.1.0/24 anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Какое правило необходимо создать для того, чтобы 53 порт с интерфейса
ppp0 не был виден?
--
WBR, Andrey Brindeew.
"No one person can understand Perl culture completely"
(C) Larry Wall.
[-- Attachment #2: Type: application/pgp-signature, Size: 245 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* [Comm] Re: Закрыть порт снаружи
2003-04-02 9:37 [Comm] Закрыть порт снаружи Andrey Brindeew
@ 2003-04-02 10:10 ` Artem K. Jouravsky
2003-04-02 11:21 ` Andrey Brindeew
2003-04-02 10:25 ` [Comm] " Amodeus
2003-04-02 17:49 ` Alexey Tourbin
2 siblings, 1 reply; 9+ messages in thread
From: Artem K. Jouravsky @ 2003-04-02 10:10 UTC (permalink / raw)
To: ALT Linux community
[-- Attachment #1: Type: text/plain, Size: 1524 bytes --]
On Wed, Apr 02, 2003 at 01:37:02PM +0400, Andrey Brindeew wrote:
> Hi!
>
> Как закрыть 53-й порт снаружи в iptables? Мне не удалось повесить pdnsd
> на два интерфейса (127.0.0.1 и 192.168.1.1), получается либо только на
> один интерфейс, либо на все.
>
> Вот что выводит sudo ipchains --list :
>
> Chain INPUT (policy ACCEPT)
> target prot opt source destination
> ACCEPT udp -- anywhere anywhere udp spt:bootpc dpt:bootps
> ACCEPT tcp -- anywhere anywhere tcp spt:bootpc dpt:bootps
> ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc
> ACCEPT tcp -- anywhere anywhere tcp spt:bootps dpt:bootpc
> ACCEPT udp -- anywhere anywhere udp dpt:domain
> ACCEPT tcp -- anywhere anywhere tcp dpt:domain
>
> Chain FORWARD (policy ACCEPT)
> target prot opt source destination
> ACCEPT all -- 192.168.1.0/24 anywhere
>
> Chain OUTPUT (policy ACCEPT)
> target prot opt source destination
>
> Какое правило необходимо создать для того, чтобы 53 порт с интерфейса
> ppp0 не был виден?
INET_IFACE=eth0
iptables -I INPUT -p TCP --dport 53 -i $INET_IFACE -j DROP
iptables -I INPUT -p UDP --dport 53 -i $INET_IFACE -j DROP
вроде так.
--
Best wishes,
Artem K. Jouravsky.
JabberID: ujo@jabber.ru
iFirst Ltd, System Administrator.
-----------------------
Всем хорошо,... когда конец хороший
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] Закрыть порт снаружи
2003-04-02 9:37 [Comm] Закрыть порт снаружи Andrey Brindeew
2003-04-02 10:10 ` [Comm] " Artem K. Jouravsky
@ 2003-04-02 10:25 ` Amodeus
2003-04-02 11:37 ` [Comm] " Andrey Brindeew
2003-04-02 17:49 ` Alexey Tourbin
2 siblings, 1 reply; 9+ messages in thread
From: Amodeus @ 2003-04-02 10:25 UTC (permalink / raw)
To: community
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
В сообщении от 2 Апрель 2003 13:37 Andrey Brindeew написал:
> Как закрыть 53-й порт снаружи в iptables? Мне не удалось
> повесить pdnsd на два интерфейса (127.0.0.1 и 192.168.1.1),
> получается либо только на один интерфейс, либо на все.
>
> Вот что выводит sudo ipchains --list :
>
> Chain INPUT (policy ACCEPT)
> target prot opt source destination
> ACCEPT udp -- anywhere anywhere
> udp spt:bootpc dpt:bootps ACCEPT tcp -- anywhere
> anywhere tcp spt:bootpc dpt:bootps ACCEPT
> udp -- anywhere anywhere udp
> spt:bootps dpt:bootpc ACCEPT tcp -- anywhere
> anywhere tcp spt:bootps dpt:bootpc ACCEPT udp
> -- anywhere anywhere udp dpt:domain
> ACCEPT tcp -- anywhere anywhere
> tcp dpt:domain
>
> Chain FORWARD (policy ACCEPT)
> target prot opt source destination
> ACCEPT all -- 192.168.1.0/24 anywhere
>
> Chain OUTPUT (policy ACCEPT)
> target prot opt source destination
>
> Какое правило необходимо создать для того, чтобы 53 порт с
> интерфейса ppp0 не был виден?
#iptables -A INPUT -p 'tcp' -i ppp0 --destination-port 53 -j
REJECT
#iptables -A INPUT -p 'udp' -i ppp0 --destination-port 22 -j
REJECT
Так как DNS подразумевает откытыми 53 порты и TCP и UDP, то
приходится закрывать их оба!
У меня великолепно работает!
- --
Amodeus
Saratov Linux User Group
amodeus@pisem.net
http://saratov.lug.ru
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)
iD8DBQE+irqsYF+yo0vG3NkRAoujAJ0VbtQmXoSDXrHvZaw/kX/n7ecBfQCfbjFR
P/EwtyJYalB2h210Xkm7RDI=
=tosV
-----END PGP SIGNATURE-----
^ permalink raw reply [flat|nested] 9+ messages in thread
* [Comm] Re: Закрыть порт снаружи
2003-04-02 10:10 ` [Comm] " Artem K. Jouravsky
@ 2003-04-02 11:21 ` Andrey Brindeew
2003-04-02 11:45 ` Artem K. Jouravsky
2003-04-02 12:54 ` Amodeus
0 siblings, 2 replies; 9+ messages in thread
From: Andrey Brindeew @ 2003-04-02 11:21 UTC (permalink / raw)
To: ALT Linux community
[-- Attachment #1: Type: text/plain, Size: 671 bytes --]
On Wed, Apr 02, 2003 at 02:10:21PM +0400, Artem K. Jouravsky wrote:
> > Какое правило необходимо создать для того, чтобы 53 порт с интерфейса
> > ppp0 не был виден?
> INET_IFACE=eth0
> iptables -I INPUT -p TCP --dport 53 -i $INET_IFACE -j DROP
> iptables -I INPUT -p UDP --dport 53 -i $INET_IFACE -j DROP
>
> вроде так.
После применения вышеуказанных правил строчка
53/tcp open domain
в выводе nmap изменилась на
53/tcp filtered domain
Так и должно быть? Мне хотелось бы сделать так, чтобы вообще не было
видно, что у меня работает свой DNS-сервер.
--
WBR, Andrey Brindeew.
"No one person can understand Perl culture completely"
(C) Larry Wall.
[-- Attachment #2: Type: application/pgp-signature, Size: 245 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* [Comm] Re: Закрыть порт снаружи
2003-04-02 10:25 ` [Comm] " Amodeus
@ 2003-04-02 11:37 ` Andrey Brindeew
2003-04-02 12:56 ` Amodeus
0 siblings, 1 reply; 9+ messages in thread
From: Andrey Brindeew @ 2003-04-02 11:37 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 593 bytes --]
On Wed, Apr 02, 2003 at 02:25:43PM +0400, Amodeus wrote:
> > Какое правило необходимо создать для того, чтобы 53 порт с
> > интерфейса ppp0 не был виден?
> #iptables -A INPUT -p 'tcp' -i ppp0 --destination-port 53 -j
> REJECT
> #iptables -A INPUT -p 'udp' -i ppp0 --destination-port 22 -j
> REJECT
Куда нужно прописать указанные команды, если учесть, что я пользуюсь
ADSL (rp-pppoe-client)? Будут ли они правильно восприняты, если firewall
поднимется раньше сервиса adsl (т.е. ppp0 еще нет)?
--
WBR, Andrey Brindeew.
"No one person can understand Perl culture completely"
(C) Larry Wall.
[-- Attachment #2: Type: application/pgp-signature, Size: 245 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* [Comm] Re: Закрыть порт снаружи
2003-04-02 11:21 ` Andrey Brindeew
@ 2003-04-02 11:45 ` Artem K. Jouravsky
2003-04-02 12:54 ` Amodeus
1 sibling, 0 replies; 9+ messages in thread
From: Artem K. Jouravsky @ 2003-04-02 11:45 UTC (permalink / raw)
To: ALT Linux community
[-- Attachment #1: Type: text/plain, Size: 1033 bytes --]
On Wed, Apr 02, 2003 at 03:21:38PM +0400, Andrey Brindeew wrote:
> > > Какое правило необходимо создать для того, чтобы 53 порт с интерфейса
> > > ppp0 не был виден?
> > INET_IFACE=eth0
> > iptables -I INPUT -p TCP --dport 53 -i $INET_IFACE -j DROP
> > iptables -I INPUT -p UDP --dport 53 -i $INET_IFACE -j DROP
> >
> > вроде так.
>
> После применения вышеуказанных правил строчка
>
> 53/tcp open domain
>
> в выводе nmap изменилась на
>
> 53/tcp filtered domain
>
> Так и должно быть? Мне хотелось бы сделать так, чтобы вообще не было
> видно, что у меня работает свой DNS-сервер.
Ну, тогда, как в сосенднем письме указали, REJECT. Просто с ним могут
проблемы возникнуть :\
Если правило применить раньше поднятия интерфейса, будет бяка. Можете ДО
поднятия сказать
iptables -F INPUT
iptables -P INPUT DROP
а после поднятия уже ваши правила
--
Best wishes,
Artem K. Jouravsky.
JabberID: ujo@jabber.ru
iFirst Ltd, System Administrator.
-----------------------
Прошел IQ тест - результат отрицательный!
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] Re: Закрыть порт снаружи
2003-04-02 11:21 ` Andrey Brindeew
2003-04-02 11:45 ` Artem K. Jouravsky
@ 2003-04-02 12:54 ` Amodeus
1 sibling, 0 replies; 9+ messages in thread
From: Amodeus @ 2003-04-02 12:54 UTC (permalink / raw)
To: community
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
В сообщении от 2 Апрель 2003 15:21 Andrey Brindeew написал:
> On Wed, Apr 02, 2003 at 02:10:21PM +0400, Artem K. Jouravsky
wrote:
> > > Какое правило необходимо создать для того, чтобы 53 порт с
> > > интерфейса ppp0 не был виден?
> >
> > INET_IFACE=eth0
> > iptables -I INPUT -p TCP --dport 53 -i $INET_IFACE -j DROP
> > iptables -I INPUT -p UDP --dport 53 -i $INET_IFACE -j DROP
> >
> > вроде так.
>
> После применения вышеуказанных правил строчка
>
> 53/tcp open domain
>
> в выводе nmap изменилась на
>
> 53/tcp filtered domain
>
> Так и должно быть? Мне хотелось бы сделать так, чтобы вообще
> не было видно, что у меня работает свой DNS-сервер.
Моё письмо почему-то не дошло до рассылки!
Чтобы не было filtered можно вместо DROP написать REJECT!
- --
Amodeus
Saratov Linux User Group
amodeus@pisem.net
http://saratov.lug.ru
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)
iD8DBQE+it2dYF+yo0vG3NkRAvv+AJ95Dpbetcu7piLZnp4y/mMQlbuu2gCeO4rm
gf9o/gB/HSwCQtqntI5oW/4=
=RkLr
-----END PGP SIGNATURE-----
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] Re: Закрыть порт снаружи
2003-04-02 11:37 ` [Comm] " Andrey Brindeew
@ 2003-04-02 12:56 ` Amodeus
0 siblings, 0 replies; 9+ messages in thread
From: Amodeus @ 2003-04-02 12:56 UTC (permalink / raw)
To: community, Andrey Brindeew
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
В сообщении от 2 Апрель 2003 15:37 Andrey Brindeew написал:
> On Wed, Apr 02, 2003 at 02:25:43PM +0400, Amodeus wrote:
> > > Какое правило необходимо создать для того, чтобы 53 порт с
> > > интерфейса ppp0 не был виден?
> >
> > #iptables -A INPUT -p 'tcp' -i ppp0 --destination-port 53 -j
> > REJECT
> > #iptables -A INPUT -p 'udp' -i ppp0 --destination-port 22 -j
> > REJECT
>
> Куда нужно прописать указанные команды, если учесть, что я
> пользуюсь ADSL (rp-pppoe-client)? Будут ли они правильно
> восприняты, если firewall поднимется раньше сервиса adsl (т.е.
> ppp0 еще нет)?
Да, всё будет в норме!
У меня ppp0 поднимается только руками по требованию(модемное
соединение), тем не менее правила устанавливаются при загрузке и
всё работает идеально!
- --
Amodeus
Saratov Linux User Group
amodeus@pisem.net
http://saratov.lug.ru
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)
iD8DBQE+it4FYF+yo0vG3NkRAvwDAJ43gkmGJWJuWDeoRMAbHo/3VnG5kwCeKZXn
99VygXgRyjFaeefq95f80oA=
=aIU7
-----END PGP SIGNATURE-----
^ permalink raw reply [flat|nested] 9+ messages in thread
* [Comm] Re: Закрыть порт снаружи
2003-04-02 9:37 [Comm] Закрыть порт снаружи Andrey Brindeew
2003-04-02 10:10 ` [Comm] " Artem K. Jouravsky
2003-04-02 10:25 ` [Comm] " Amodeus
@ 2003-04-02 17:49 ` Alexey Tourbin
2 siblings, 0 replies; 9+ messages in thread
From: Alexey Tourbin @ 2003-04-02 17:49 UTC (permalink / raw)
To: ALT Linux community
[-- Attachment #1: Type: text/plain, Size: 685 bytes --]
On Wed, Apr 02, 2003 at 01:37:02PM +0400, Andrey Brindeew wrote:
> Hi!
>
> Как закрыть 53-й порт снаружи в iptables? Мне не удалось повесить pdnsd
> на два интерфейса (127.0.0.1 и 192.168.1.1), получается либо только на
> один интерфейс, либо на все.
Такова архитектура сокетов, можно прицепиться либо на конкретный
интерфейс, либо на INADDR_ANY=0, открытый для всех ветров. Здесь есть
некоторая аналогия с пользователем root (euid=0).
Вы правы, на локальной машине проще всего повесить на 127.0.0.1, а в
других случаях придется настраивать firewall.
PS: если есть замечания по поводу chkconfig -- давайте!
PPS: ставьте из Daedalus, в сизифе он по умолчанию просто не рабочий.
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
end of thread, other threads:[~2003-04-02 17:49 UTC | newest]
Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-04-02 9:37 [Comm] Закрыть порт снаружи Andrey Brindeew
2003-04-02 10:10 ` [Comm] " Artem K. Jouravsky
2003-04-02 11:21 ` Andrey Brindeew
2003-04-02 11:45 ` Artem K. Jouravsky
2003-04-02 12:54 ` Amodeus
2003-04-02 10:25 ` [Comm] " Amodeus
2003-04-02 11:37 ` [Comm] " Andrey Brindeew
2003-04-02 12:56 ` Amodeus
2003-04-02 17:49 ` Alexey Tourbin
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git