Re: Iptables - port-scan

Wed, 30 Mar 2011 04:33:16 -0700 

Opa.

Obrigado pela dica. Mas minha instalação é um debian netinstall, por padrão
vem "pelado"

Segundo a saida do netstat -tpln

Conexões Internet Ativas (sem os servidores)
Proto Recv-Q Send-Q Endereço Local          Endereço Remoto         Estado
   PID/Program name
tcp        0      0 0.0.0.0:80              0.0.0.0:*               OUÇA
  917/apache2
tcp        0      0 172.16.1.231:789        0.0.0.0:*               OUÇA
  1230/sshd
tcp        0      0 172.16.1.231:90         0.0.0.0:*               OUÇA
  917/apache2
tcp        0      0 0.0.0.0:445             0.0.0.0:*               OUÇA
  901/smbd
tcp        0      0 172.16.1.231:100        0.0.0.0:*               OUÇA
  917/apache2
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               OUÇA
  1160/mysqld
tcp        0      0 0.0.0.0:139             0.0.0.0:*               OUÇA
  901/smbd

fuser -v 25/tcp
não volta nada

já
fuser -v 80/tcp
                   USER        PID ACCESS COMMAND
80/tcp:              root        917 F.... apache2
                     www-data   1009 F.... apache2
                     www-data   1010 F.... apache2
                     www-data   1011 F.... apache2
                     www-data   1012 F.... apache2
                     www-data   1013 F.... apache2
                     www-data   1588 F.... apache2
                     www-data   1589 F.... apache2

Vou modificar meu script novamente. revisar tudo.

Desde já agradeço.

Abraços


--
att
Marcos Carraro
Linux user #511627



Em 30 de março de 2011 01:58, Eden Caldas <edencal...@gmail.com> escreveu:

> Você disse que não tem as portas 25 e 110 escutando mas o nmap achou? Muito
> estranho isso.
>
> Executa o seguinte localmente no computador com o iptables.
>
> netstat -tpln
>
> Pra ver se aparece algo rodando que abra essas portas.
>
> Eden Caldas
> Consultor de TI
> e...@linuxfacil.srv.br
> (81) 9653 7220
> LINUX FÁCIL – Consultoria e Serviços em TI
>
>
> Em 29 de março de 2011 17:32, Marcos Carraro 
> <marcos.g.carr...@gmail.com>escreveu:
>
> Boa Tarde Pessoal.
>>
>> Estou desenvolvendo um firewall, minhas politicas padrões de input,
>> output, forward, são drop..
>> Achei na internet algumas linhas que impeçam que port-scan detectem alguma
>> porta aberta, ou possam escanear o server.
>>
>> iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j
>> ACCEPT
>> iptables -A INPUT -p tcp -m limit --limit 1/s -j ACCEPT
>> iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit
>> 1/s -j ACCEPT
>> iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j DROP
>> iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
>>
>> Mas o nmap consegue escanear, demora muito tempo, algo de 5 a 10 min, mas
>> ele me retorna bem mais portas aberta, por ex:. 25,110, portas que eu não
>> tenho nada na escuta, e no meu iptables so tenho liberado ssh e porta 80.
>>
>> Alguem teria dicas para bloquear port-scan?
>>
>> Muito Obrigado.
>>
>> abraços
>>
>>
>>
>> --
>> att
>> Marcos Carraro
>> Linux user #511627
>>
>>
>>
>

Responder a