Ubuntu-gr Forum

To Forum της Ελληνικής Κοινότητας Ubuntu-gr
https://forum.ubuntu-gr.org/

Οδηγός ρύθμισης Iptables (Firewall)

https://forum.ubuntu-gr.org/viewtopic.php?p=57701#p57701

Δημοσιεύτηκε: 01 Ιούλ 2009, 16:39
από pros
Ορίστε και κάποιες δοκιμές από εμένα πίσω από router (εσωτερικό δίκτυο)

  1. Με gufw ρυθμισμένο σε deny, εκτός από την θύρα 22

    Κώδικας: Επιλογή όλων
    [root@localhost user]# nmap -P0 -sS 192.168.1.64

    Starting Nmap 4.52 ( http://insecure.org ) at 2009-07-01 14:33 EEST
    Interesting ports on 192.168.1.64:
    Not shown: 1713 filtered ports
    PORT STATE SERVICE
    22/tcp open ssh
    MAC Address: 00:90:F5:67:DE:85 (Clevo CO.)

    Nmap done: 1 IP address (1 host up) scanned in 9.329 seconds

    Βλέπω τις θύρες filtered.

  2. Με τις default ρυθμίσεις του 8.04.3
    Spoiler: show
    sterios@sterios-laptop:~$ sudo iptables -L
    Chain INPUT (policy ACCEPT)
    target prot opt source destination

    Chain FORWARD (policy ACCEPT)
    target prot opt source destination

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination

    Κώδικας: Επιλογή όλων
    Starting Nmap 4.52 ( http://insecure.org ) at 2009-07-01 15:04 EEST
    Interesting ports on 192.168.1.64:
    Not shown: 1712 closed ports
    PORT STATE SERVICE
    22/tcp open ssh
    111/tcp open rpcbind
    MAC Address: 00:90:F5:67:DE:85 (Clevo CO.)

    Nmap done: 1 IP address (1 host up) scanned in 5.672 seconds

    Αναφέρει τις θύρες closed, αλλά δείχνει και μία που δεν ήξερα ότι την έχω ανοίξει
    (γιατί να το κρύψωμεν άλλωστε, πειράματα και ζαβολιές κάνω καμμιά φορά... :? )
    και από ότι κατάλαβα είναι ένα σημείο αδυναμίας, γενικά σε συστήματα unix.
    (Port 111 is a security vulnerability for UNIX systems due to the number
    of vulnerabilities discovered for the portmapper and related RPC services.)
Παρότι οι default ρυθμίσεις του iptables είναι Accept All, το nmap αναφέρει τις θύρες closed.
έγραψε:closed ports σημαίνει ports στα οποία δεν τρέχει service και όχι απαραίτητα ports που προστατεύονται.


Πρακτικά, για να υπάρχει όφελος και για κάποιον που θα διαβάσει αυτό το νήμα στο μέλλον,
αν δεν βρισκόμαστε πίσω από router με δικό του firewall, που είμαστε σίγουροι, ότι λειτουργεί,
κάτι που με την διάδοση των συνδέσεων 3g, δεν είναι τόσο σπάνιο, καλό είναι να χρησιμοποιούμε το gufw.
Εναλλακτικά το firestarter, αν και παλιό, έχει πληρέστερο GUI και προσφέρει περισσότερες
δυνατότητες ρύθμισης και παρακολούθησης της σύνδεσης.


Για πληρότητα, κάνοντας την ίδια δοκιμή προς τον δεύτερο υπολογιστή που χρησιμοποίησα
(linpus-fedora) που από ότι καταλαβαίνω δεν έχει τo iptables και με το ssh ενεργοποιημένο
και σε σύνδεση, παίρνω σαν αποτέλεσμα
Κώδικας: Επιλογή όλων
sterios@sterios-laptop:~$ sudo nmap -P0 -sS 192.168.1.66

Starting Nmap 4.53 ( http://insecure.org ) at 2009-07-01 16:14 EEST
Nmap done: 1 IP address (0 hosts up) scanned in 0.342 seconds

:?: :!:
Αλλά αυτό είναι, άλλο επεισόδιο...
Αν κάτι από ότι αναφέρω θα μπορούσε να κατευθύνει σε λάθος κατεύθυνση κάποιον άπειρο χρήστη,
παρακαλώ διορθώστε με.
Όλοι οι χρόνοι είναι UTC + 2 ώρες [ DST ]
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/