Avatar billede esf_spike Nybegynder
02. november 2002 - 20:25 Der er 24 kommentarer og
1 løsning

Firewalling (igen)

Hej igen,

Nu står jeg med det problem at jeg har nogle porte åbne som jeg meget nødigt vil ha' åbne. De står som åbne ved nmap, både lokalt og eksternt. Jeg vil gerne lukke disse, og jeg har prøvet maange ting med iptables syntes jeg selv.
Hvordan blokerer jeg en specifik port på alle ifaces fra ALLE ip'er og alle protokoller?
Det skal gøres med iptables.

-Jesper
Avatar billede hrboom Nybegynder
02. november 2002 - 20:31 #1
ehmm... er det på en linux spand du skal lukke porte på ??

(har du en firewall)
Avatar billede esf_spike Nybegynder
02. november 2002 - 20:56 #2
Ja, det er en linux spand, og jeg skulle da mene at iptables i sig selv er en firewall(?)
Avatar billede hrboom Nybegynder
02. november 2002 - 21:22 #3
ja det er det...  men det skal jo sættes op.. ;)

http://iptables.1go.dk

Ved ik om det hjælper..
Avatar billede esf_spike Nybegynder
02. november 2002 - 21:23 #4
iptables ER sat op - jeg kan frit tilføje regler etc.
Har du en linie der blocker en port?
Avatar billede hrboom Nybegynder
02. november 2002 - 21:27 #5
nej :(

men kig på http://debianguiden.dk/

mener der står how
Avatar billede hrboom Nybegynder
02. november 2002 - 21:31 #6
Avatar billede hrboom Nybegynder
02. november 2002 - 21:39 #7
Avatar billede hrboom Nybegynder
02. november 2002 - 21:48 #8
iptables -A INPUT -p tcp -s 0/0 --dport 25 -j DROP
Her spærres for adgang til port 25
Avatar billede hrboom Nybegynder
02. november 2002 - 21:48 #9
.
Avatar billede esf_spike Nybegynder
02. november 2002 - 21:57 #10
Jeg skriver:
iptables -A INPUT -p tcp -s 0/0 --dport 1 -j DROP
ved en nmap både lokal og ekstern viser den dog at port 1 ER åben
...?
Avatar billede hrboom Nybegynder
02. november 2002 - 22:13 #11
ja... den smider pakken væk vis den mod tager noget det står DROP for...

men ellers ved jeg ikke.. jeg er ikke lige inde i det iptables så godt :(
Avatar billede hrboom Nybegynder
02. november 2002 - 22:27 #12
iptables -A OUTPUT -p tcp -s 0/0 --dport 1 -j DROP


prøv det
Avatar billede hrboom Nybegynder
02. november 2002 - 22:27 #13
elller

iptables -A OUTPUT -p tcp --dport 1 -j DROP
Avatar billede esf_spike Nybegynder
02. november 2002 - 22:30 #14
virker heller ikke.. Det er lidt underligt, for jeg har ingen services kørende på de porte, er der andre måder jeg kan lukke dem på, evt.?
Skal bare ha' dem lukket på en eller anden måde
Avatar billede hrboom Nybegynder
02. november 2002 - 22:33 #15
hvad for en linux bruger du ?
Avatar billede hrboom Nybegynder
02. november 2002 - 22:35 #16
iptables -A FORWARD -p tcp --dport 1 -j DROP
 
Så skulle der være lukket for det...
Avatar billede esf_spike Nybegynder
02. november 2002 - 22:37 #17
Jeg bruger debian
Avatar billede hrboom Nybegynder
02. november 2002 - 22:38 #18
Okey... hmm...
Avatar billede esf_spike Nybegynder
02. november 2002 - 22:39 #19
og den sidste kommando du gav med FORWARD virker heller ikke..
Avatar billede esf_spike Nybegynder
02. november 2002 - 22:39 #20
Ville det ikke være lettere at snakke over IRC? :)
Avatar billede hrboom Nybegynder
02. november 2002 - 22:40 #21
heh.. hmm...

prøv at rette det her til (det er fra http://www.braindump.dk/dk/wiki/?wikipage=IpTables)


Her kommer et hurtigt eksempel på et komplet script, der sætter en firewall op med Source NAT (bedre kendt som masquerading). Det interne net er 10.0.0.0/8 på eth1, det eksterne er 192.168.0.1 på eth0.



#!/bin/sh

INTIP=10.0.0.1
EXTIP=192.168.0.1

# tillad forwarding af pakker
echo "1" > /proc/sys/net/ipv4/ip_forward

# luk al indgående som standard
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# kæderne bliver lige tømt, så man kan køre scriptet igen uden problemer
iptables -F
iptables -t nat -F

# lav en ny kæde
iptables -N block

# tillad alt lokal trafik
iptables -A INPUT -i lo -j ACCEPT

# vi tillader trafik på forbindelser, der er blevet oprettet
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
# og vi tillader nye forbindelser, hvis de kommer indefra
iptables -A block -m state --state NEW -i eth1 -j ACCEPT

# aktiver source nat
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -d "!" 10.0.0.0/8 -j SNAT --to $EXTIP

# tillad adgang til udvalgte services udefra
iptables -A INPUT -p tcp -d $EXTIP --dport ssh -j ACCEPT
iptables -A INPUT -p tcp -d $EXTIP --dport ircd -j ACCEPT

# spær for adgang til visse services
iptables -A INPUT -p tcp -d $INTIP --dport smtp -j DROP
iptables -A INPUT -p udp -d $INTIP --dport syslog -j DROP
iptables -A INPUT -p tcp -d $INTIP --dport swat -j DROP
iptables -A INPUT -p tcp -d $INTIP --dport printer -j DROP

# blockkæden kobles på INPUT og FORWARD kæderne
# Det betyder at der er adgang til alt indefra (på nær det, der blev
# droppet lige før, og til ALT udaf, men ingenting udefra
iptables -A INPUT -j block
iptables -A FORWARD -j block

# og derudover logger vi alt, der prøver at blive forwarded
# med max 1 pr sek og burst på 3
iptables -A FORWARD -m limit --limit 1/s --limit-burst 3 -j LOG \
--log-prefix "FORWARD: " --log-ip-options --log-tcp-options

# sæt Type Of Service til lav forsinkelse for telnet/ssh
iptables -t mangle -A PREROUTING -p tcp --dport telnet -j TOS --set-tos 0x10
iptables -t mangle -A PREROUTING -p tcp --dport ssh -j TOS --set-tos 0x10

# sæt Type Of Service til high throughput for FTP
iptables -t mangle -A PREROUTING -p tcp --dport ftp -j TOS --set-tos 0x08

# omdirriger al webtrafik til en transparent proxy på 10.0.0.2
iptables -t nat -A PREROUTING -p tcp --dport www -j DNAT \
--to-destination 10.0.0.2:3128




kunne være det hjalp...
Avatar billede esf_spike Nybegynder
02. november 2002 - 22:41 #22
Jeg kører faktisk næsten akurat det samme script - http://printf.dk/iptables2.sh
Avatar billede hrboom Nybegynder
02. november 2002 - 22:42 #23
Tror jeg skal ha gang i en linux igen.. og lær det iptables...

jeg køre FreeBSD lige nu.. sååå... tror jeg vil ha liv i min gamle server igen med linux...
Avatar billede hrboom Nybegynder
02. november 2002 - 22:43 #24
scan den lige igen.. og send det den skriver til admin@nein.dk
Avatar billede esf_spike Nybegynder
02. november 2002 - 22:44 #25
Kan du ikke komme på quakenet (irc.dk.quakenet.org) og querye mig? Mit nick er "spike"
Ellers kan jeg da godt lige sende en scanning..
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester



IT-JOB

PensionDanmark

Aktuar

Cognizant Technology Solutions Denmark ApS

Azure Architect