IPTables + nepotrebni servisi

IPTables + nepotrebni servisi

offline
  • Pridružio: 01 Okt 2004
  • Poruke: 351
  • Gde živiš: Qrshumliya

Pozdrav!
Imam Slack 10 i na njemu instaliran IPTables. Skenirao sam portove i od servisa mi je aktivno sledece:
25/tcp open smtp
37/tcp open time
113/tcp open auth
587/tcp open submission
631/tcp open ipp

E, sad, prilicno sam neiskusan u ovome, ali bih hteo da pogasim sve ove servise da se dizhu 'on-boot' osim sendmaila, i da konfigurisem sendmail tako da 'osluskuje' samo 127.0.0.1, t.j. da mogu da mu pristupim samo iz localhosta. Kako da izvedem to?
Kako da konfigurisem IPTables da mi pozatvara sve portove osim 25, 80, 6667 i portova za POP3 i FTP? Mogu li namestim da firewall ni na jedan port pusta servera ako je kojim sluchajem pokrenut, a da klijentske aplikacije nmogu noramlno da rade?

Hvala unapred!



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Pridružio: 05 Jun 2003
  • Poruke: 2075
  • Gde živiš: MaYur CitY

da nesto razgranicimo :

postoje dve vrsta servia koji se startaju:
--za vreme boota.oni su servisi koji zahtevaju brz odgovor na userom zahtev.
--kada je potrebno,kontrolisani su putem inetd koji starta potrebni daemon
INETD je internet daemon tj superdaeom koji kao sto rekoh moze startovati i upravljati drugim daemonima /

1.zasto jednostavno ne komentujes te servise u /etc/inetd.conf
tako da se oni pri bootu nece dizati...naravno u svom startup diru
npr /etc/rc.d uradi rename servisa npr rc.sendmail ili mu skini x bit.
time se taj servis nece pokretati vise pri bootu.....

nerazumem zasta ce ti sendmail...ako ti je neka standalone makina???
onako je to najbusnija stvar u mozda i istoriji Smile)) tako da ce ti 25 i 587 biti closed ii time se svoju masinu za jedan korak ucinio secure...
sendmail ima i klijent i server side
--dostavlja postu useru
--mailing liste
--salje automatski na druge masine

sto se tice auth ...opet otvoris /etc/inetd.conf
# Ident service is used for net authentication
#auth stream tcp wait root /usr/sbin/in.identd in.identd

--ovako treba da izgleda ukoliko ne zelis da se taj servis pokrece

takodje komentuj i time servis

inace spisak svih servisa mozes naci u /etc/services
baza podataka servisa,podatci dolaze iz RFC-a
UNIX serveri moraju za zakljuce port u /etc/service koristeci sys comandu getservicebyname()
services moze biti zamenjem sa NIS,NIS+,NETINFO.ovi sistemi patchuju getservicebyname()

...zatim se inetd mora restartovati .za to postoji vise nacina npr.
root@l0v3x0r:~# /etc/rc.d/rc.inetd
usage /etc/rc.d/rc.inetd start|stop|restart
kao sto vidis mozes uzeti restart da ubijes i ponovo pokrenes inetd
a moze i ovako
#kill -HUP inetd
#kill -HUP "PID inetd" --npr saznas ga sa
root@l0v3x0r:~# ps -aux | grep inetd
root 1150 0.0 0.2 1412 560 ? Ss 13:21 0:00 /usr/sbin/inetd
.....


e sad malo da procackamo po iptablesima Smile) ..neznam koliko se razumes u iptables ili ipchains i koliko znas sta znaci sta ??
vazno je da znas da iptables poznaje dva nacina odbijanja paketa DROP i REJECT. DROP ce doslovce pojesti paket i nece biti nikakve poruke dok REJECT ce vratiti poruku posaljiocu da je paket odbijen.
DROP ti je sigurniji opet Smile)

evo npr blokirnje celog mreznog saobracaja:

# iptables -F
# iptables -A INPUT -j REJECT
# iptables -A OUTPUT -j REJECT
# iptables -A FORWARD -j REJECT

Blokiranje dolazeceg saobracaja tj svog saobracaja koji ne dolazi sa tvoje masine sto mozes iskoristiti za sendmail ukoliko ipak odlucis da ga pokreces:

# iptables -F INPUT
# iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
# iptables -A INPUT -j REJECT

a evo ukoliko oces da odredjenom servisu blokiras dolazece zahteve a a prihvatas zahteva sa iste masine

# iptables -A INPUT -p tcp -i lo --dport 25 -j ACCEPT
# iptables -A INPUT -p tcp --dport 25 -j REJECT

--sto vazi za sendmail
Listanje rulza tj pravila FW ces dobiti sa:
# iptables -L [chain]
snimanje se odvija sa :
# iptables-save > /etc/sysconfig/iptables
load tablesa je:
# iiptables-restore

takodje sto se tice servisa mozes koristiti neki wraper i fajlove
/etc/hosts.allow
/etc/hosts.deny

in.telnetd : ALL : DENY ---dodaces ovaj red u fajl
sto znaci da niko nemoze pristupiti tom servisu
dok npr:

in.telnetd : 127.0.0.1 -ce omoguciti da telnetd pristupi se samo sa localhosta

evo ti jos jedan koristan tip kako ces spreciti da te neko pinguje tj sprecit ces njega da dobije ECHO_REPLY cime moze da utvrdi da ti je makina up

# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
nikako ne blokiraj ceo ICMP saobracaj



offline
  • mire  Male
  • Elitni građanin
  • Pridružio: 18 Apr 2003
  • Poruke: 2282
  • Gde živiš: Beograd

less /etc/init.d/iptables

man iptables

neki iptables HOWTO

offline
  • Pridružio: 01 Okt 2004
  • Poruke: 351
  • Gde živiš: Qrshumliya

Hvala vam sto se trudite. Probacu da uradim neshto.
btw: mislio sam da mi je sandmail neophodan za slane mailova, ali ako kazesh da je nepotreban...
Javicu sta je bilo

offline
  • Pridružio: 05 Jun 2003
  • Poruke: 2075
  • Gde živiš: MaYur CitY

ma jock bre...potrudi se malo procitaj txt na miru i shvati sta sam teo reci Smile)

Ko je trenutno na forumu
 

Ukupno su 755 korisnika na forumu :: 32 registrovanih, 5 sakrivenih i 718 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: _Sale, A.R.Chafee.Jr., aleksmajstor, amaterSRB, Apok, cole77, Dorcolac, Dovla, dragon986, Georgius, HrcAk47, Marko Marković, MB120mm, mcgunner, Milan A. Nikolic, Mr. Majevica, ObelixSRB, operniki, Oscar, S2M, sizif, Smiljke, srecko81, Stanlio, stegonosa, Stoorbak, stug, theNedjeljko, Van, Vlada1389, voja64, yrraf