iptables+ssh probléma

pityi

Sziasztok, a problémám a következő, remélem tudtok benne segíteni! :-) az iptables segítségével tiltok minden kívülről jövő kapcsolatot, de mégis talál az nmap két nyitott portot, holott mindent "becsuktam".. (elvileg) iptables configom: #!/bin/bash #teszt tűzfal ver.:1.0 echo "tuzfal [ver.:1.0] betoltese..." #parancsok meghatarozasa IPT=/sbin/iptables MODP=/sbin/modprobe #szukseges modulok betoltese $MODP ip_conntrack_ftp #alap policy beallitasa $IPT --flush $IPT --zero $IPT --delete-chain $IPT --policy INPUT DROP $IPT --policy OUTPUT DROP $IPT --policy FORWARD DROP #loopback engedelyezese $IPT --insert INPUT -i lo -j ACCEPT $IPT --insert OUTPUT -o lo -j ACCEPT #vedelem #syn-flood log&drop $IPT --append INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 4 -j ACCEPT $IPT --append INPUT -p tcp --syn -j LOG --log-prefix "syn-flood tamadas:" $IPT --append INPUT -p tcp --syn -j DROP #Nmap FIN/URG/PSH log&drop $IPT --append INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -m limit --limit 5/m -j LOG --log-prefix "Nmap XMAS scan:" $IPT --append INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP #SYN/RST log&drop $IPT --append INPUT -p tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 5/m -j LOG --log-prefix "SYN/RST scan" $IPT --append INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP #SYN/FIN log&drop $IPT --append INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/m -j LOG --log-prefix "SYN/FIN scan" $IPT --append INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP #portscan log&drop $IPT --append INPUT -p tcp --tcp-flags ALL ALL -j LOG --log-prefix "XMAS-tree scan:" $IPT --append INPUT -p tcp --tcp-flags ALL NONE -m state --state ! ESTABLISHED -j LOG --log-prefix "null scan:" #pinget nem engedjuk $IPT --append INPUT -m state --state NEW -p icmp -j DROP #PoD log&drop $IPT --append INPUT -p icmp --icmp-type echo-request -m limit --limit 3/s -j ACCEPT $IPT --append INPUT -p icmp --icmp-type echo-request -j LOG --log-prefix "PoD tamadas:" $IPT --append INPUT -p icmp --icmp-type echo-request -j DROP #rejtett portscan log&drop $IPT --append INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "rejtett portscan:" $IPT --append INPUT -p tcp ! --syn -m state --state NEW -j DROP #engedelyezett kapcsolatok jovahagyasa befele $IPT --append INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #engedelyezett bejovo portok #jelenleg semmi) #biztonsag kedveert log&drop $IPT --append INPUT -j LOG --log-prefix "nem illeszkedo INPUT:" $IPT --append INPUT -j DROP #engedelyezett atmeno portok #engedelyezett kimeno portok #engedelyezett kapcsolatok jovahagyasa kifele $IPT --append OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #internet $IPT --append OUTPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT #http $IPT --append OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT #dns $IPT --append OUTPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT #https #dhcp $IPT --append OUTPUT -p udp --dport 67 -m state --state NEW -j ACCEPT #dhcp $IPT --append OUTPUT -p udp --dport 68 -m state --state NEW -j ACCEPT #dhcp #ftp $IPT --append OUTPUT -p tcp --dport 20 -m state --state NEW -j ACCEPT #ftp-data $IPT --append OUTPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT #ftp #smtp $IPT --append OUTPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT #smtp $IPT --append OUTPUT -p tcp --dport 465 -m state --state NEW -j ACCEPT #smtps #imap $IPT --append OUTPUT -p tcp --dport 143 -m state --state NEW -j ACCEPT #imap $IPT --append OUTPUT -p tcp --dport 993 -m state --state NEW -j ACCEPT #imaps #pop3 $IPT --append OUTPUT -p tcp --dport 110 -m state --state NEW -j ACCEPT #pop3 $IPT --append OUTPUT -p tcp --dport 995 -m state --state NEW -j ACCEPT #pop3s #samba $IPT --append OUTPUT -p tcp --dport 445 -m state --state NEW -j ACCEPT #samba $IPT --append OUTPUT -p tcp --dport 139 -m state --state NEW -j ACCEPT #samba #emesene $IPT --append OUTPUT -p tcp --dport 1863 -m state --state NEW -j ACCEPT #emesene #smbclient $IPT --append OUTPUT -p tcp --dport 445 -m state --state NEW -j ACCEPT #smbclient #biztonsag kedveert log&drop $IPT --append OUTPUT -j LOG --log-prefix "nem illeszkedo OUTPUT:" $IPT --append OUTPUT -j DROP echo "tuzfal beltoltve! [ OK ]" ha ezt a sort kilövöm, akkor is nyitottnak látja a 22es és 2000es portot, de kivülről nem tud bejönni semmi.. illetve a nmap is azt írja, az összes kapura hogy filtered! $IPT --append INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 4 -j ACCEPT hogyan tudnám becsukni ezeket a nyűves kapukat? Előre is THX! p.

pityi

asszem kezdek rájönni... ezt a szaros 2000es portot a LTSP nyitotta ki, az SSH pedig a 22est! A tűzfalamat ha módosítom, akkor nagyszerűen szűri a portokat, most már csak azt kéne tudni, miért is kavar be az a sor... .-( Ellenben: egy daemon vagy szerver önállóan kinyithat portokat? és a tűzfalon kívül mivel kényszeríthetjük arra, hogy ezt ne tegye? (tűzfal csak elfedi a portot, blokkolja az oda érkező dolgokat nem? zárni ugye nem tud? Hol tudom bezárni manuálisan?)

Gorkhaan

pityiÉn annyit tudok, hogy azt a portot nyitja ki a linux amilyen alkalmazás igényli, a többit alapból zárva tartja. Minek ilyen erős tűzfal neked? Szerverre?

pityi

Gorkhaanköszi a választ, igen ezt én is tapasztaltam, mert az ssh 22-es portját próbaként átraktam egy másikra (27) és akkor az nmap azt mutatta nyitottnak, a 22est pedig bezárva! minden akkor ezt megszokom. sajnos paranoiás vagyok kicsit, nem szerverként üzemel, egy sima notin használom... :-) mondjuk sokféle daemon/server fut rajta próbaképp, gondoltam nem árt egy jobbfajta védelem...