MyCity » Linux » IPTables + nepotrebni servisi

IPTables + nepotrebni servisi

Napisano na dan: 2.10.2004

IPTables + nepotrebni servisi

Sledeća strana

Pagination

Odgovori

anarki Poslao: 02 Okt 2004 00:05 Idi na vrh
offline anarki Ugledni građanin Pridružio: 01 Okt 2004 Poruke: 351 Gde živiš: Qrshumliya	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Pozdrav! Imam Slack 10 i na njemu instaliran IPTables. Skenirao sam portove i od servisa mi je aktivno sledece: 25/tcp open smtp 37/tcp open time 113/tcp open auth 587/tcp open submission 631/tcp open ipp E, sad, prilicno sam neiskusan u ovome, ali bih hteo da pogasim sve ove servise da se dizhu 'on-boot' osim sendmaila, i da konfigurisem sendmail tako da 'osluskuje' samo 127.0.0.1, t.j. da mogu da mu pristupim samo iz localhosta. Kako da izvedem to? Kako da konfigurisem IPTables da mi pozatvara sve portove osim 25, 80, 6667 i portova za POP3 i FTP? Mogu li namestim da firewall ni na jedan port pusta servera ako je kojim sluchajem pokrenut, a da klijentske aplikacije nmogu noramlno da rade? Hvala unapred!

Profil
Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.

bl00dz3r0 Poslao: 02 Okt 2004 01:32 Idi na vrh
offline bl00dz3r0 Elitni građanin Pridružio: 05 Jun 2003 Poruke: 2075 Gde živiš: MaYur CitY	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! da nesto razgranicimo : postoje dve vrsta servia koji se startaju: --za vreme boota.oni su servisi koji zahtevaju brz odgovor na userom zahtev. --kada je potrebno,kontrolisani su putem inetd koji starta potrebni daemon INETD je internet daemon tj superdaeom koji kao sto rekoh moze startovati i upravljati drugim daemonima / 1.zasto jednostavno ne komentujes te servise u /etc/inetd.conf tako da se oni pri bootu nece dizati...naravno u svom startup diru npr /etc/rc.d uradi rename servisa npr rc.sendmail ili mu skini x bit. time se taj servis nece pokretati vise pri bootu..... nerazumem zasta ce ti sendmail...ako ti je neka standalone makina??? onako je to najbusnija stvar u mozda i istoriji )) tako da ce ti 25 i 587 biti closed ii time se svoju masinu za jedan korak ucinio secure... sendmail ima i klijent i server side --dostavlja postu useru --mailing liste --salje automatski na druge masine sto se tice auth ...opet otvoris /etc/inetd.conf # Ident service is used for net authentication #auth stream tcp wait root /usr/sbin/in.identd in.identd --ovako treba da izgleda ukoliko ne zelis da se taj servis pokrece takodje komentuj i time servis inace spisak svih servisa mozes naci u /etc/services baza podataka servisa,podatci dolaze iz RFC-a UNIX serveri moraju za zakljuce port u /etc/service koristeci sys comandu getservicebyname() services moze biti zamenjem sa NIS,NIS+,NETINFO.ovi sistemi patchuju getservicebyname() ...zatim se inetd mora restartovati .za to postoji vise nacina npr. root@l0v3x0r:~# /etc/rc.d/rc.inetd usage /etc/rc.d/rc.inetd start\|stop\|restart kao sto vidis mozes uzeti restart da ubijes i ponovo pokrenes inetd a moze i ovako #kill -HUP inetd #kill -HUP "PID inetd" --npr saznas ga sa root@l0v3x0r:~# ps -aux \| grep inetd root 1150 0.0 0.2 1412 560 ? Ss 13:21 0:00 /usr/sbin/inetd ..... e sad malo da procackamo po iptablesima ) ..neznam koliko se razumes u iptables ili ipchains i koliko znas sta znaci sta ?? vazno je da znas da iptables poznaje dva nacina odbijanja paketa DROP i REJECT. DROP ce doslovce pojesti paket i nece biti nikakve poruke dok REJECT ce vratiti poruku posaljiocu da je paket odbijen. DROP ti je sigurniji opet ) evo npr blokirnje celog mreznog saobracaja: # iptables -F # iptables -A INPUT -j REJECT # iptables -A OUTPUT -j REJECT # iptables -A FORWARD -j REJECT Blokiranje dolazeceg saobracaja tj svog saobracaja koji ne dolazi sa tvoje masine sto mozes iskoristiti za sendmail ukoliko ipak odlucis da ga pokreces: # iptables -F INPUT # iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT # iptables -A INPUT -j REJECT a evo ukoliko oces da odredjenom servisu blokiras dolazece zahteve a a prihvatas zahteva sa iste masine # iptables -A INPUT -p tcp -i lo --dport 25 -j ACCEPT # iptables -A INPUT -p tcp --dport 25 -j REJECT --sto vazi za sendmail Listanje rulza tj pravila FW ces dobiti sa: # iptables -L [chain] snimanje se odvija sa : # iptables-save > /etc/sysconfig/iptables load tablesa je: # iiptables-restore takodje sto se tice servisa mozes koristiti neki wraper i fajlove /etc/hosts.allow /etc/hosts.deny in.telnetd : ALL : DENY ---dodaces ovaj red u fajl sto znaci da niko nemoze pristupiti tom servisu dok npr: in.telnetd : 127.0.0.1 -ce omoguciti da telnetd pristupi se samo sa localhosta evo ti jos jedan koristan tip kako ces spreciti da te neko pinguje tj sprecit ces njega da dobije ECHO_REPLY cime moze da utvrdi da ti je makina up # iptables -A INPUT -p icmp --icmp-type echo-request -j DROP nikako ne blokiraj ceo ICMP saobracaj

Profil

mire Poslao: 02 Okt 2004 01:40 Idi na vrh
offline mire Elitni građanin Pridružio: 18 Apr 2003 Poruke: 2282 Gde živiš: Beograd	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! less /etc/init.d/iptables man iptables neki iptables HOWTO

Profil

anarki Poslao: 02 Okt 2004 16:34 Idi na vrh
offline anarki Ugledni građanin Pridružio: 01 Okt 2004 Poruke: 351 Gde živiš: Qrshumliya	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Hvala vam sto se trudite. Probacu da uradim neshto. btw: mislio sam da mi je sandmail neophodan za slane mailova, ali ako kazesh da je nepotreban... Javicu sta je bilo

Profil

bl00dz3r0 Poslao: 03 Okt 2004 00:06 Idi na vrh
offline bl00dz3r0 Elitni građanin Pridružio: 05 Jun 2003 Poruke: 2075 Gde živiš: MaYur CitY	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! ma jock bre...potrudi se malo procitaj txt na miru i shvati sta sam teo reci )

Profil

MyCity » Linux » IPTables + nepotrebni servisi

Ko je trenutno na forumu

Ukupno su 1260 korisnika na forumu :: 52 registrovanih, 10 sakrivenih i 1198 gosta :: [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:: Korisnici trenutno na forumu: Apok, armor, babaroga, bojcistv, bokisha253, Brana01, BraneS, ccoogg123, CheefCoach, Dannyboy, darionis, DPera, DragoslavS, elenemste, goxin, havoc995, HogarStrashni, ILGromovnik, Istman, JOntra, jukeboxer, Karla, kikisp, Krvava Devetka, Luka Blažević, MB120mm, Mercury, moldway, Ne doznajem se u oružje, Nemanja.M, NoOneEver Dreams, nuke92, Oscar, ozzy, pein, raptorsi, rasok, repac, royst33, Sale.S, sombrero, Srle993, styg, Tvrtko I, vathra, Vlad000, Vlada1389, Webb, wizzardone, zdrebac, 79693, 223223

Svaki korisnik ovog sajta je odgovoran za sadržaj svoje poruke koju objavi na sajtu. Sajt se odriče svake odgovornosti za sadržaj tih poruka.
Postavljanjem vaše poruke ili vašeg autorskog dela na ovaj sajt, saglasni ste da ovaj sajt postaje distributer vašeg dela, i odričete se mogućnosti njegovog povlačenja ili brisanja, bez saglasnosti uprave sajta.
Distribucija sadržaja sa ovog sajta je dozvoljena samo u nekomercijalne svrhe, uz obaveznu napomenu da je sadržaj preuzet sa ovog sajta, i uz obavezno navođenje adrese MyCity sajta. Za sve ostale vidove distribucije obavezni ste da prethodno zatražite odobrenje od vlasnika MyCity sajta.
MyCity pokrenuo, administrira i razvija Predrag Damnjanović, a o uređenju sajta se brine MyCity Tim.
Ukoliko želite da nas kontaktirate kliknite ovde.
Naši sajtovi:
Vesti, Vojni forum, Zaštita od virusa, TekstPesme.rs

This content is licensed under a Creative Commons License.
Based on phpBB 2, translated by Simke, designed by