From: "Владимир Гусев" <vova1971@narod.ru>
To: community@altlinux.ru
Subject: Re: [Comm] Re: iptables, port 0 и Stealth (blocked ports, REJECT)
Date: Sun, 27 Mar 2005 20:35:31 +0400
Message-ID: <op.soa1phetglg102@post.cnt.ru> (raw)
In-Reply-To: <20050327160634.GA3615@lks.home>
>> 1. Что за порт 0 и как его закрывать?
> netstat -vatwun ?
Вы имели в виду сделать вывод команды?
[root@vova etc]# netstat -vatwun
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign
Address State
tcp 0 0 0.0.0.0:37
0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:4239
0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111
0.0.0.0:* LISTEN
tcp 0 0 10.0.0.1:53
0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:53
0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:22
0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:2583
0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:953
0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:13756
0.0.0.0:* LISTEN
tcp 0 0 10.0.0.1:2766
128.180.196.141:4233 ESTABLISHED
tcp 0 0 10.0.0.1:2811
66.90.102.128:80 ESTABLISHED
tcp 0 0 10.0.0.1:3139
81.211.64.80:143 ESTABLISHED
tcp 0 0 10.0.0.1:5489
205.188.8.8:5190 ESTABLISHED
udp 0 0 0.0.0.0:1024 0.0.0.0:*
udp 0 0 0.0.0.0:1414 0.0.0.0:*
udp 0 0 0.0.0.0:4239 0.0.0.0:*
udp 0 0 0.0.0.0:2583 0.0.0.0:*
udp 0 0 10.0.0.1:53 0.0.0.0:*
udp 0 0 127.0.0.1:53 0.0.0.0:*
udp 0 0 0.0.0.0:1369 0.0.0.0:*
udp 0 0 0.0.0.0:111 0.0.0.0:*
udp 0 0 10.0.0.1:123 0.0.0.0:*
udp 0 0 127.0.0.1:123 0.0.0.0:*
udp 0 0 0.0.0.0:123 0.0.0.0:*
raw 0 0 0.0.0.0:1 0.0.0.0:*
>> 2. Нужно ли добиваться, чтобы по таким онлайн-тестам все порты от 0 до
>> 1055 были бы BLOCKED (Stealth) (в случае теста Shields UP все порты на
>> диаграмме в зеленом цвете)?
> не факт, например, если нужен доступ извне к какой-нибудь службе, то
> зачем
> ее закрывать.
Например? SSH ? Если бы у меня дома был бы статич. IP, то я прописал бы
правило на шлюз для моего входе извне.. а так как у меня динамич. адрес,
то я не знаю, стоит ли оставлять открытым SSH.
По ходу использования такой простой настройки iptables (точнее таблицы
filter) выявил следующее - невозможен доступ к личным кабинетам некоторых
интернет-сервисов, например к личному кабинету на сайте провайдера, вход в
GMail через вэб-интерфейс - я так понимаю. что посылается некий сертификат
"доверия" сервера, который является NEW по типу пакета. Как с этим быть?
>> 3. Насколько жизнеспособна (недырява) таблица filter в моем исполнении
>> для
>> простейшего шлюза с одной задачей - доступ в интернет для локальной
>> сети.
> Лучше поставьте firehol и не мучайтесь.
Firehol ? Не слыхал о таком.. Посмотрю, но если это графич. "приблуда"
типа guarddog или Firewall Builder, то они меня только путают.. Еле-еле
начинаю понимать суть вещей..
--
С уважением, Владимир Гусев
next prev parent reply other threads:[~2005-03-27 16:35 UTC|newest]
Thread overview: 14+ messages / expand[flat|nested] mbox.gz Atom feed top
2005-03-26 17:38 [Comm] " Владимир Гусев
2005-03-27 14:05 ` Владимир Гусев
2005-03-27 16:06 ` [Comm] " Konstantin A. Lepikhov
2005-03-27 16:35 ` Владимир Гусев [this message]
2005-03-27 16:59 ` Konstantin A. Lepikhov
2005-03-27 17:33 ` Владимир Гусев
2005-03-27 17:26 ` Michael Shigorin
2005-03-28 7:41 ` Владимир Гусев
2005-03-28 7:56 ` [Comm] FPROFTPD Наумкин Сергей
2005-03-28 9:58 ` Genix
2005-03-28 10:02 ` Alexey I. Froloff
2005-03-28 11:42 ` [Comm] Re: iptables, port 0 и Stealth (blocked ports, REJECT) Владимир Гусев
2005-03-28 19:34 ` Владимир Гусев
2005-03-28 13:20 ` Владимир Гусев
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=op.soa1phetglg102@post.cnt.ru \
--to=vova1971@narod.ru \
--cc=community@altlinux.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git