[Comm] Закрыть порт снаружи

ALT Linux Community general discussions
 help / color / mirror / Atom feed

* [Comm] Закрыть порт снаружи
@ 2003-04-02  9:37 Andrey Brindeew
  2003-04-02 10:10 ` [Comm] " Artem K. Jouravsky
                   ` (2 more replies)
  0 siblings, 3 replies; 9+ messages in thread
From: Andrey Brindeew @ 2003-04-02  9:37 UTC (permalink / raw)
  To: ALT Linux community

[-- Attachment #1: Type: text/plain, Size: 1198 bytes --]

Hi!

Как закрыть 53-й порт снаружи в iptables? Мне не удалось повесить pdnsd
на два интерфейса (127.0.0.1 и 192.168.1.1), получается либо только на
один интерфейс, либо на все.

Вот что выводит sudo ipchains --list :

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     udp  --  anywhere             anywhere           udp spt:bootpc dpt:bootps
ACCEPT     tcp  --  anywhere             anywhere           tcp spt:bootpc dpt:bootps
ACCEPT     udp  --  anywhere             anywhere           udp spt:bootps dpt:bootpc
ACCEPT     tcp  --  anywhere             anywhere           tcp spt:bootps dpt:bootpc
ACCEPT     udp  --  anywhere             anywhere           udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:domain

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  192.168.1.0/24       anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Какое правило необходимо создать для того, чтобы 53 порт с интерфейса
ppp0 не был виден?

-- 
WBR, Andrey Brindeew.
"No one person can understand Perl culture completely"
(C) Larry Wall.

[-- Attachment #2: Type: application/pgp-signature, Size: 245 bytes --]

^ permalink raw reply	[flat|nested] 9+ messages in thread

* [Comm] Re: Закрыть порт снаружи
  2003-04-02  9:37 [Comm] Закрыть порт снаружи Andrey Brindeew
@ 2003-04-02 10:10 ` Artem K. Jouravsky
  2003-04-02 11:21   ` Andrey Brindeew
  2003-04-02 10:25 ` [Comm] " Amodeus
  2003-04-02 17:49 ` Alexey Tourbin
  2 siblings, 1 reply; 9+ messages in thread
From: Artem K. Jouravsky @ 2003-04-02 10:10 UTC (permalink / raw)
  To: ALT Linux community

[-- Attachment #1: Type: text/plain, Size: 1524 bytes --]

On Wed, Apr 02, 2003 at 01:37:02PM +0400, Andrey Brindeew wrote:
> Hi!
> 
> Как закрыть 53-й порт снаружи в iptables? Мне не удалось повесить pdnsd
> на два интерфейса (127.0.0.1 и 192.168.1.1), получается либо только на
> один интерфейс, либо на все.
> 
> Вот что выводит sudo ipchains --list :
> 
> Chain INPUT (policy ACCEPT)
> target     prot opt source               destination
> ACCEPT     udp  --  anywhere             anywhere           udp spt:bootpc dpt:bootps
> ACCEPT     tcp  --  anywhere             anywhere           tcp spt:bootpc dpt:bootps
> ACCEPT     udp  --  anywhere             anywhere           udp spt:bootps dpt:bootpc
> ACCEPT     tcp  --  anywhere             anywhere           tcp spt:bootps dpt:bootpc
> ACCEPT     udp  --  anywhere             anywhere           udp dpt:domain
> ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:domain
> 
> Chain FORWARD (policy ACCEPT)
> target     prot opt source               destination
> ACCEPT     all  --  192.168.1.0/24       anywhere
> 
> Chain OUTPUT (policy ACCEPT)
> target     prot opt source               destination
> 
> Какое правило необходимо создать для того, чтобы 53 порт с интерфейса
> ppp0 не был виден?
INET_IFACE=eth0
iptables -I INPUT -p TCP --dport 53 -i $INET_IFACE -j DROP
iptables -I INPUT -p UDP --dport 53 -i $INET_IFACE -j DROP

вроде так.

-- 
Best wishes,
	Artem K. Jouravsky.  
  JabberID: ujo@jabber.ru
iFirst Ltd, System Administrator.
-----------------------
Всем хорошо,... когда конец хороший

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 9+ messages in thread

* [Comm] Re: Закрыть порт снаружи
  2003-04-02 10:10 ` [Comm] " Artem K. Jouravsky
@ 2003-04-02 11:21   ` Andrey Brindeew
  2003-04-02 11:45     ` Artem K. Jouravsky
  2003-04-02 12:54     ` Amodeus
  0 siblings, 2 replies; 9+ messages in thread
From: Andrey Brindeew @ 2003-04-02 11:21 UTC (permalink / raw)
  To: ALT Linux community

[-- Attachment #1: Type: text/plain, Size: 671 bytes --]

On Wed, Apr 02, 2003 at 02:10:21PM +0400, Artem K. Jouravsky wrote:
> > Какое правило необходимо создать для того, чтобы 53 порт с интерфейса
> > ppp0 не был виден?
> INET_IFACE=eth0
> iptables -I INPUT -p TCP --dport 53 -i $INET_IFACE -j DROP
> iptables -I INPUT -p UDP --dport 53 -i $INET_IFACE -j DROP
> 
> вроде так.

После применения вышеуказанных правил строчка

53/tcp     open        domain

в выводе nmap изменилась на

53/tcp     filtered    domain

Так и должно быть? Мне хотелось бы сделать так, чтобы вообще не было
видно, что у меня работает свой DNS-сервер.

-- 
WBR, Andrey Brindeew.
"No one person can understand Perl culture completely"
(C) Larry Wall.

[-- Attachment #2: Type: application/pgp-signature, Size: 245 bytes --]

^ permalink raw reply	[flat|nested] 9+ messages in thread

* [Comm] Re: Закрыть порт снаружи
  2003-04-02 11:21   ` Andrey Brindeew
@ 2003-04-02 11:45     ` Artem K. Jouravsky
  2003-04-02 12:54     ` Amodeus
  1 sibling, 0 replies; 9+ messages in thread
From: Artem K. Jouravsky @ 2003-04-02 11:45 UTC (permalink / raw)
  To: ALT Linux community

[-- Attachment #1: Type: text/plain, Size: 1033 bytes --]

On Wed, Apr 02, 2003 at 03:21:38PM +0400, Andrey Brindeew wrote:
> > > Какое правило необходимо создать для того, чтобы 53 порт с интерфейса
> > > ppp0 не был виден?
> > INET_IFACE=eth0
> > iptables -I INPUT -p TCP --dport 53 -i $INET_IFACE -j DROP
> > iptables -I INPUT -p UDP --dport 53 -i $INET_IFACE -j DROP
> > 
> > вроде так.
> 
> После применения вышеуказанных правил строчка
> 
> 53/tcp     open        domain
> 
> в выводе nmap изменилась на
> 
> 53/tcp     filtered    domain
> 
> Так и должно быть? Мне хотелось бы сделать так, чтобы вообще не было
> видно, что у меня работает свой DNS-сервер.
Ну, тогда, как в сосенднем письме указали, REJECT. Просто с ним могут
проблемы возникнуть :\
Если правило применить раньше поднятия интерфейса, будет бяка. Можете ДО
поднятия сказать 
iptables -F INPUT
iptables -P INPUT DROP
а после поднятия уже ваши правила


-- 
Best wishes,
	Artem K. Jouravsky.  
  JabberID: ujo@jabber.ru
iFirst Ltd, System Administrator.
-----------------------
Прошел IQ тест - результат отрицательный!

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 9+ messages in thread

* Re: [Comm] Re: Закрыть порт снаружи
  2003-04-02 11:21   ` Andrey Brindeew
  2003-04-02 11:45     ` Artem K. Jouravsky
@ 2003-04-02 12:54     ` Amodeus
  1 sibling, 0 replies; 9+ messages in thread
From: Amodeus @ 2003-04-02 12:54 UTC (permalink / raw)
  To: community

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

В сообщении от 2 Апрель 2003 15:21 Andrey Brindeew написал:
> On Wed, Apr 02, 2003 at 02:10:21PM +0400, Artem K. Jouravsky 
wrote:
> > > Какое правило необходимо создать для того, чтобы 53 порт с
> > > интерфейса ppp0 не был виден?
> >
> > INET_IFACE=eth0
> > iptables -I INPUT -p TCP --dport 53 -i $INET_IFACE -j DROP
> > iptables -I INPUT -p UDP --dport 53 -i $INET_IFACE -j DROP
> >
> > вроде так.
>
> После применения вышеуказанных правил строчка
>
> 53/tcp     open        domain
>
> в выводе nmap изменилась на
>
> 53/tcp     filtered    domain
>
> Так и должно быть? Мне хотелось бы сделать так, чтобы вообще
> не было видно, что у меня работает свой DNS-сервер.
Моё письмо почему-то не дошло до рассылки!
Чтобы не было filtered можно вместо DROP написать REJECT!
- -- 
Amodeus
Saratov Linux User Group
amodeus@pisem.net
http://saratov.lug.ru
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)

iD8DBQE+it2dYF+yo0vG3NkRAvv+AJ95Dpbetcu7piLZnp4y/mMQlbuu2gCeO4rm
gf9o/gB/HSwCQtqntI5oW/4=
=RkLr
-----END PGP SIGNATURE-----

^ permalink raw reply	[flat|nested] 9+ messages in thread

* Re: [Comm] Закрыть порт снаружи
  2003-04-02  9:37 [Comm] Закрыть порт снаружи Andrey Brindeew
  2003-04-02 10:10 ` [Comm] " Artem K. Jouravsky
@ 2003-04-02 10:25 ` Amodeus
  2003-04-02 11:37   ` [Comm] " Andrey Brindeew
  2003-04-02 17:49 ` Alexey Tourbin
  2 siblings, 1 reply; 9+ messages in thread
From: Amodeus @ 2003-04-02 10:25 UTC (permalink / raw)
  To: community

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

В сообщении от 2 Апрель 2003 13:37 Andrey Brindeew написал:
> Как закрыть 53-й порт снаружи в iptables? Мне не удалось
> повесить pdnsd на два интерфейса (127.0.0.1 и 192.168.1.1),
> получается либо только на один интерфейс, либо на все.
>
> Вот что выводит sudo ipchains --list :
>
> Chain INPUT (policy ACCEPT)
> target     prot opt source               destination
> ACCEPT     udp  --  anywhere             anywhere          
> udp spt:bootpc dpt:bootps ACCEPT     tcp  --  anywhere        
>     anywhere           tcp spt:bootpc dpt:bootps ACCEPT    
> udp  --  anywhere             anywhere           udp
> spt:bootps dpt:bootpc ACCEPT     tcp  --  anywhere            
> anywhere           tcp spt:bootps dpt:bootpc ACCEPT     udp 
> --  anywhere             anywhere           udp dpt:domain
> ACCEPT     tcp  --  anywhere             anywhere          
> tcp dpt:domain
>
> Chain FORWARD (policy ACCEPT)
> target     prot opt source               destination
> ACCEPT     all  --  192.168.1.0/24       anywhere
>
> Chain OUTPUT (policy ACCEPT)
> target     prot opt source               destination
>
> Какое правило необходимо создать для того, чтобы 53 порт с
> интерфейса ppp0 не был виден?
#iptables -A INPUT -p 'tcp' -i ppp0 --destination-port 53 -j 
REJECT
#iptables -A INPUT -p 'udp' -i ppp0 --destination-port 22 -j 
REJECT
Так как DNS подразумевает откытыми 53 порты и TCP и UDP, то 
приходится закрывать их оба!
У меня великолепно работает!
- -- 
Amodeus
Saratov Linux User Group
amodeus@pisem.net
http://saratov.lug.ru
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)

iD8DBQE+irqsYF+yo0vG3NkRAoujAJ0VbtQmXoSDXrHvZaw/kX/n7ecBfQCfbjFR
P/EwtyJYalB2h210Xkm7RDI=
=tosV
-----END PGP SIGNATURE-----

^ permalink raw reply	[flat|nested] 9+ messages in thread

* [Comm] Re: Закрыть порт снаружи
  2003-04-02 10:25 ` [Comm] " Amodeus
@ 2003-04-02 11:37   ` Andrey Brindeew
  2003-04-02 12:56     ` Amodeus
  0 siblings, 1 reply; 9+ messages in thread
From: Andrey Brindeew @ 2003-04-02 11:37 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 593 bytes --]

On Wed, Apr 02, 2003 at 02:25:43PM +0400, Amodeus wrote:
> > Какое правило необходимо создать для того, чтобы 53 порт с
> > интерфейса ppp0 не был виден?
> #iptables -A INPUT -p 'tcp' -i ppp0 --destination-port 53 -j 
> REJECT
> #iptables -A INPUT -p 'udp' -i ppp0 --destination-port 22 -j 
> REJECT

Куда нужно прописать указанные команды, если учесть, что я пользуюсь
ADSL (rp-pppoe-client)? Будут ли они правильно восприняты, если firewall
поднимется раньше сервиса adsl (т.е. ppp0 еще нет)?

-- 
WBR, Andrey Brindeew.
"No one person can understand Perl culture completely"
(C) Larry Wall.

[-- Attachment #2: Type: application/pgp-signature, Size: 245 bytes --]

^ permalink raw reply	[flat|nested] 9+ messages in thread

* Re: [Comm] Re: Закрыть порт снаружи
  2003-04-02 11:37   ` [Comm] " Andrey Brindeew
@ 2003-04-02 12:56     ` Amodeus
  0 siblings, 0 replies; 9+ messages in thread
From: Amodeus @ 2003-04-02 12:56 UTC (permalink / raw)
  To: community, Andrey Brindeew

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

В сообщении от 2 Апрель 2003 15:37 Andrey Brindeew написал:
> On Wed, Apr 02, 2003 at 02:25:43PM +0400, Amodeus wrote:
> > > Какое правило необходимо создать для того, чтобы 53 порт с
> > > интерфейса ppp0 не был виден?
> >
> > #iptables -A INPUT -p 'tcp' -i ppp0 --destination-port 53 -j
> > REJECT
> > #iptables -A INPUT -p 'udp' -i ppp0 --destination-port 22 -j
> > REJECT
>
> Куда нужно прописать указанные команды, если учесть, что я
> пользуюсь ADSL (rp-pppoe-client)? Будут ли они правильно
> восприняты, если firewall поднимется раньше сервиса adsl (т.е.
> ppp0 еще нет)?
Да, всё будет в норме!
У меня ppp0 поднимается только руками по требованию(модемное 
соединение), тем не менее правила устанавливаются при загрузке и 
всё работает идеально!
- -- 
Amodeus
Saratov Linux User Group
amodeus@pisem.net
http://saratov.lug.ru
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)

iD8DBQE+it4FYF+yo0vG3NkRAvwDAJ43gkmGJWJuWDeoRMAbHo/3VnG5kwCeKZXn
99VygXgRyjFaeefq95f80oA=
=aIU7
-----END PGP SIGNATURE-----

^ permalink raw reply	[flat|nested] 9+ messages in thread

* [Comm] Re: Закрыть порт снаружи
  2003-04-02  9:37 [Comm] Закрыть порт снаружи Andrey Brindeew
  2003-04-02 10:10 ` [Comm] " Artem K. Jouravsky
  2003-04-02 10:25 ` [Comm] " Amodeus
@ 2003-04-02 17:49 ` Alexey Tourbin
  2 siblings, 0 replies; 9+ messages in thread
From: Alexey Tourbin @ 2003-04-02 17:49 UTC (permalink / raw)
  To: ALT Linux community

[-- Attachment #1: Type: text/plain, Size: 685 bytes --]

On Wed, Apr 02, 2003 at 01:37:02PM +0400, Andrey Brindeew wrote:
> Hi!
> 
> Как закрыть 53-й порт снаружи в iptables? Мне не удалось повесить pdnsd
> на два интерфейса (127.0.0.1 и 192.168.1.1), получается либо только на
> один интерфейс, либо на все.

Такова архитектура сокетов, можно прицепиться либо на конкретный
интерфейс, либо на INADDR_ANY=0, открытый для всех ветров.  Здесь есть
некоторая аналогия с пользователем root (euid=0).

Вы правы, на локальной машине проще всего повесить на 127.0.0.1, а в
других случаях придется настраивать firewall.

PS: если есть замечания по поводу chkconfig -- давайте!

PPS: ставьте из Daedalus, в сизифе он по умолчанию просто не рабочий.

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 9+ messages in thread

end of thread, other threads:[~2003-04-02 17:49 UTC | newest]

Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-04-02  9:37 [Comm] Закрыть порт снаружи Andrey Brindeew
2003-04-02 10:10 ` [Comm] " Artem K. Jouravsky
2003-04-02 11:21   ` Andrey Brindeew
2003-04-02 11:45     ` Artem K. Jouravsky
2003-04-02 12:54     ` Amodeus
2003-04-02 10:25 ` [Comm] " Amodeus
2003-04-02 11:37   ` [Comm] " Andrey Brindeew
2003-04-02 12:56     ` Amodeus
2003-04-02 17:49 ` Alexey Tourbin

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git