* [Comm] Настройка iptables и кто-же открыл порт?
@ 2006-11-10 14:41 Oleg Dolgov
2006-11-10 14:48 ` diver
` (2 more replies)
0 siblings, 3 replies; 6+ messages in thread
From: Oleg Dolgov @ 2006-11-10 14:41 UTC (permalink / raw)
To: community
Здравствуйте.
Помогите разобраться в ситуации.
Настроил себе iptables руками (по iptables-tutorial). Вроде все
работает, в связи с чем был несказанно рад за себя :-) Самостоятельно
разобрался в незнакомом для себя деле.
Решил проверить эффективность. Наружу заведомо открыл только 22 порт
(ssh). Захожу в инет с мобилки и пытаюсь просканировать свой сервак
(ip белый). И к своему удивлению обнаруживаю:
Address : "мой АйПи"
Ping .... Ok, Time : 1642
Port 22 (ssh) ... Ok ! Send data. Wait incoming data ..
data received. SSH-1.99-OpenSSH_3.6.1p2
Port 21 (ftp) ... Ok ! Send data. Wait incoming data ..
no data. 2 (of 91) open port(s) detected
Done
Откуда взялся Port 21 (ftp)?
Правила, касающиеся INPUT (по умолчанию DROP):
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j
ACCEPT
$IPTABLES -A allowed -p TCP -j DROP
$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state
ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p TCP -j tcp-packets
$IPTABLES -A tcp-packets -p TCP -s 0/0 --dport 22 -j allowed
Остальные -A tcp-packets -p TCP -i $LAN_IFACE --dport разные там.
21-й вообще нигде не фигурирует. Предполагаю, что его инициирует
какая-то внутренняя служба, т.к.
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
В общем у меня идей нет :-(
--
С наилучшими,
Олег Долгов
<dolgov AT mail DOT zp DOT ua>
Registered Linux user #315454
^ permalink raw reply [flat|nested] 6+ messages in thread* Re: [Comm] Настройка iptables и кто-же открыл порт?
2006-11-10 14:41 [Comm] Настройка iptables и кто-же открыл порт? Oleg Dolgov
@ 2006-11-10 14:48 ` diver
2006-11-10 14:59 ` Dmitriy L. Kruglikov
2006-11-10 15:07 ` Alexey Borovskoy
2 siblings, 0 replies; 6+ messages in thread
From: diver @ 2006-11-10 14:48 UTC (permalink / raw)
To: ALT Linux Community
2006/11/10, Oleg Dolgov <dolgov@mail.zp.ua>:
> Здравствуйте.
>
> Помогите разобраться в ситуации.
> Настроил себе iptables руками (по iptables-tutorial). Вроде все
> работает, в связи с чем был несказанно рад за себя :-) Самостоятельно
> разобрался в незнакомом для себя деле.
>
> Решил проверить эффективность. Наружу заведомо открыл только 22 порт
> (ssh). Захожу в инет с мобилки и пытаюсь просканировать свой сервак
> (ip белый). И к своему удивлению обнаруживаю:
>
> Address : "мой АйПи"
> Ping .... Ok, Time : 1642
> Port 22 (ssh) ... Ok ! Send data. Wait incoming data ..
> data received. SSH-1.99-OpenSSH_3.6.1p2
> Port 21 (ftp) ... Ok ! Send data. Wait incoming data ..
> no data. 2 (of 91) open port(s) detected
>
> Done
>
> Откуда взялся Port 21 (ftp)?
>
> Правила, касающиеся INPUT (по умолчанию DROP):
>
> $IPTABLES -A allowed -p TCP --syn -j ACCEPT
... что значит "Разрешить все пакеты что инициализируют соединение".
А надо, разрешить тем кому надо, а в конце где-то тоже правило но -j DROP
--
-=-=-=-=-=-==-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Have A Nice Night[Day]. WBR, -=DiVeR=-
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Comm] Настройка iptables и кто-же открыл порт?
2006-11-10 14:41 [Comm] Настройка iptables и кто-же открыл порт? Oleg Dolgov
2006-11-10 14:48 ` diver
@ 2006-11-10 14:59 ` Dmitriy L. Kruglikov
2006-11-13 10:00 ` Oleg Dolgov
2006-11-10 15:07 ` Alexey Borovskoy
2 siblings, 1 reply; 6+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-11-10 14:59 UTC (permalink / raw)
To: ALT Linux Community
На календаре было: Пятница, 10 Ноябрь 2006 года,
Oleg Dolgov писал(а) в сообщении:
OD == Oleg Dolgov
OD> В общем у меня идей нет :-(
Ну, тогда для начала, проверь, что запущено и на каких портах ...
Например:
netstat -nap | more ...
Тут будут тебе и порты, и сокеты ...
А там, уже, видно будет ... :)
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
XMPP:dkr6@jabber.ru (| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Месье знает толк в извращениях!
-- Harliff (linux.org.ru)
^ permalink raw reply [flat|nested] 6+ messages in thread* Re: [Comm] Настройка iptables и кто-же открыл порт?
2006-11-10 14:59 ` Dmitriy L. Kruglikov
@ 2006-11-13 10:00 ` Oleg Dolgov
2006-11-13 10:52 ` Maxim Ivanov
0 siblings, 1 reply; 6+ messages in thread
From: Oleg Dolgov @ 2006-11-13 10:00 UTC (permalink / raw)
To: community
> # netstat -nap
> | grep 21 unix 3 [ ] STREAM CONNECTED 181921
> | 6976/0
> unix 2 [ ] DGRAM 2156 1551/apmd
>
> Вроде нет ничего :-\
> Да и служба не представляется при сканировании.
>
> А по поводу соседнего письма:
> >> Откуда взялся Port 21 (ftp)?
> >> $IPTABLES -A allowed -p TCP --syn -j ACCEPT
>
> >Отсюда взялся. "Разрешить установку новых входяших соединений без
> >ограничений".
>
> Так это разрешено только с внутреннего интерфейса (eth1) в цепочке
> INPUT и _только_так_. Никому более (из вне, FORWARD) катоко не
> позволено.
PS. Третий раз отправляю письмо. :-\
Что-то gmane.org дает мне отлуп:
This is the Postfix program at host mail.zp.ua.
I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.
For further assistance, please send mail to <postmaster>
If you do so, please include this problem report. You can
delete your own text from the attached returned message.
The Postfix program
<community-XbBxUvOt3X3HsNE/8sQLYR2eb7JE58TQ@public.gmane.org>: host
main.gmane.org[80.91.229.2] said: 550 relay not permitted (in reply
to RCPT TO command)
[message/delivery-status (400B)]
Reporting-MTA: dns; mail.zp.ua
X-Postfix-Queue-ID: 3E477FF2ABD
X-Postfix-Sender: rfc822; dolgov@mail.zp.ua
Arrival-Date: Mon, 13 Nov 2006 09:09:56 +0200 (EET)
Final-Recipient: rfc822;
community-XbBxUvOt3X3HsNE/8sQLYR2eb7JE58TQ@public.gmane.org Action:
failed Status: 5.0.0
Diagnostic-Code: X-Postfix; host main.gmane.org[80.91.229.2] said: 550
relay not permitted (in reply to RCPT TO command)
--
С наилучшими,
Олег Долгов
<dolgov AT mail DOT zp DOT ua>
Registered Linux user #315454
^ permalink raw reply [flat|nested] 6+ messages in thread* Re: [Comm] Настройка iptables и кто-же открыл порт?
2006-11-13 10:00 ` Oleg Dolgov
@ 2006-11-13 10:52 ` Maxim Ivanov
0 siblings, 0 replies; 6+ messages in thread
From: Maxim Ivanov @ 2006-11-13 10:52 UTC (permalink / raw)
To: dolgov, ALT Linux Community
Ваш провайдер попал в черный список RBL.
С этого домена мой почтовик тоже письма не принимает.
Какая-то нехорошая личность спам видимо рассылает.
> PS. Третий раз отправляю письмо. :-\
> Что-то gmane.org дает мне отлуп:
> This is the Postfix program at host mail.zp.ua.
>
> I'm sorry to have to inform you that your message could not
> be delivered to one or more recipients. It's attached below.
>
> For further assistance, please send mail to <postmaster>
>
> If you do so, please include this problem report. You can
> delete your own text from the attached returned message.
>
> The Postfix program
>
> <community-XbBxUvOt3X3HsNE/8sQLYR2eb7JE58TQ@public.gmane.org>: host
> main.gmane.org[80.91.229.2] said: 550 relay not permitted (in reply
> to RCPT TO command)
>
>
> [message/delivery-status (400B)]
> Reporting-MTA: dns; mail.zp.ua
> X-Postfix-Queue-ID: 3E477FF2ABD
> X-Postfix-Sender: rfc822; dolgov@mail.zp.ua
> Arrival-Date: Mon, 13 Nov 2006 09:09:56 +0200 (EET)
>
> Final-Recipient: rfc822;
> community-XbBxUvOt3X3HsNE/8sQLYR2eb7JE58TQ@public.gmane.org Action:
> failed Status: 5.0.0
> Diagnostic-Code: X-Postfix; host main.gmane.org[80.91.229.2] said: 550
> relay not permitted (in reply to RCPT TO command)
>
>
> Community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Comm] Настройка iptables и кто-же открыл порт?
2006-11-10 14:41 [Comm] Настройка iptables и кто-же открыл порт? Oleg Dolgov
2006-11-10 14:48 ` diver
2006-11-10 14:59 ` Dmitriy L. Kruglikov
@ 2006-11-10 15:07 ` Alexey Borovskoy
2 siblings, 0 replies; 6+ messages in thread
From: Alexey Borovskoy @ 2006-11-10 15:07 UTC (permalink / raw)
To: ALT Linux Community
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Oleg Dolgov пишет:
> Откуда взялся Port 21 (ftp)?
> $IPTABLES -A allowed -p TCP --syn -j ACCEPT
Отсюда взялся. "Разрешить установку новых входяших соединений без
ограничений".
Можно к примеру так:
$IPT -P INPUT DROP
$IPT -F INPUT
##INPUT
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A INPUT -p icmp --icmp-type 8 -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type 11 -j ACCEPT
$IPT -A INPUT -m limit --limit 3/min -j LOG --log-level DEBUG
- --
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63 2753 E37A 9E3F 11F3 BDE1
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
iD8DBQFFVJW043qePxHzveERAoKKAJ9WdWupRTRVYXMSWI8DiL6yfVp+ngCgo+8V
tFNJLP7Xzi8w3UzXHiRIbpo=
=cUS9
-----END PGP SIGNATURE-----
^ permalink raw reply [flat|nested] 6+ messages in thread
end of thread, other threads:[~2006-11-13 10:52 UTC | newest]
Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2006-11-10 14:41 [Comm] Настройка iptables и кто-же открыл порт? Oleg Dolgov
2006-11-10 14:48 ` diver
2006-11-10 14:59 ` Dmitriy L. Kruglikov
2006-11-13 10:00 ` Oleg Dolgov
2006-11-13 10:52 ` Maxim Ivanov
2006-11-10 15:07 ` Alexey Borovskoy
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git