offene ports wo keine sein sollten??
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo, habe meinen "Server" mal nach offenen ports gescannt, leider seh ich da das von aussen (laut tool) ports offen sind: PORT STATE SERVICE 53/tcp open domain 111/tcp open rpcbind 2049/tcp open nfs Laut SuSE-Firewall ist aber gar nichts nach aussen offen. Mach ich da einen Denkfehler, oder is doch was faul mit meiner Konfiguration? Gruesse Juergen -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHgXYzVx/HgmPVT0cRApYuAKCysglbPWJpTrl7HFOL8v8zXyDPmACfarZ/ aaq0ibbTwvdp08ity2ekA00= =r4vH -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 j.echter schrieb:
Mach ich da einen Denkfehler, oder is doch was faul mit meiner Konfiguration?
Guten Morgen, sollte wohl noch erwaehnen das ich ausm internen netz die externe ip gescannt hab... Erklaert das die offenen Ports? Habe naemlich mit www.port-scan.de nochmals gescannt und da war kein Port offen. Gruesse Juergen -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHgdR+Vx/HgmPVT0cRAg4fAKCkSHtL129vI8X/eIkARNballIR8wCghknS FdSGCI8V/imvzktaMG3L2DM= =R6p/ -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
j.echter, Montag, 7. Januar 2008 08:27:
sollte wohl noch erwaehnen das ich ausm internen netz die externe ip gescannt hab...
Erklaert das die offenen Ports?
Nein, das erklärt nur die Differenz zwischen Deinem Ergebnis und dem von port-scan.de. Trotzdem ist es wohl keine gute Idee, erst den bind und den Portmapper an das WAN-Interface zu binden, und anschließend die Firewall davor zu setzen, um die Löcher wieder zu stopfen. Entweder willst Du diese Services nach draußen anbieten (was bei nfs ungewöhnlich wäre) und müßtest folglich auch die Firewall entsprechend einstellen, oder aber Du bindest sie erst gar nicht ans WAN-Interface, dann brauchst Du auch keine Firewall, die die Löcher stopft. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Andre Tann schrieb:
Trotzdem ist es wohl keine gute Idee, erst den bind und den Portmapper an das WAN-Interface zu binden, und anschließend die Firewall davor zu setzen, um die Löcher wieder zu stopfen. Entweder willst Du diese Services nach draußen anbieten (was bei nfs ungewöhnlich wäre) und müßtest folglich auch die Firewall entsprechend einstellen, oder aber Du bindest sie erst gar nicht ans WAN-Interface, dann brauchst Du auch keine Firewall, die die Löcher stopft.
Hallo Andre, danke fuer die Antwort. Also habe nur ISDN, habe nun in der SuSE Firewall any und ippp0 als externe zone konfiguriert, die beiden NW-Karten als interne Zonen. Die Dienste sind in der Firewall nur fuer das interne Netz freigeben. Masquerading hab ich an. Dazu laeuft eben auch der bind/named und dhcpd um den internen Rechnern Zugriff ins Netz zu ermoeglichen. Ist daran was falsch? Wie ich den named / dhcpd / nfs-server an eine bzw. 2 interne IP's binde habe ich bisher noch nicht rausgefunden. Die manpages sind mir da ehrlich gesagt auch teilweise zu hoch :) Ich werd mal weitersehen, wie ich das am besten loese, waere allerdings fuer Tipps dankbar. Gruesse Juergen -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHgeH9Vx/HgmPVT0cRAo0DAKCCjiHNjGNyZ9FifdL4WSWExTHeBwCggwAj cy7aojuu5gxlqle5QQEV68Y= =C7J8 -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
j.echter, Montag, 7. Januar 2008 09:25:
danke fuer die Antwort. Also habe nur ISDN, habe nun in der SuSE Firewall any und ippp0 als externe zone konfiguriert, die beiden NW-Karten als interne Zonen. Die Dienste sind in der Firewall nur fuer das interne Netz freigeben. Masquerading hab ich an. Dazu laeuft eben auch der bind/named und dhcpd um den internen Rechnern Zugriff ins Netz zu ermoeglichen.
Ist daran was falsch?
Daran ist nur falsch, daß der named an ippp0 lauscht. Das soll er nicht, und das kann man irgendwo in der namd.conf auch abstellen. Schau mal da rein, ist irgendwo kommentiert. Den nfs-Server kriegst Du via hosts.allow und hosts.deny von ippp0 weg. Schau auch in diese Dateien rein, sind ganz gut kommentiert. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Andre Tann schrieb:
Daran ist nur falsch, daß der named an ippp0 lauscht. Das soll er nicht, und das kann man irgendwo in der namd.conf auch abstellen. Schau mal da rein, ist irgendwo kommentiert.
ist abgeschaltet.
Den nfs-Server kriegst Du via hosts.allow und hosts.deny von ippp0 weg. Schau auch in diese Dateien rein, sind ganz gut kommentiert.
Damit komm ich leider nicht ganz klar :) Habe in hosts.deny folgendes: portmap:ALL lockd:ALL mountd:ALL rquotad:ALL statd:ALL und in hosts.allow dieses: portmap: 192.168.0.2 lockd: 192.168.0.2 mountd: 192.168.0.2 rquotad: 192.168.0.2 statd: 192.168.0.2 trotzdem sieht das ganze dann noch so aus: PORT STATE SERVICE 111/tcp open rpcbind 2049/tcp open nfs Wenn ich das alles richtig verstanden habe, sollte es nun passen. Oder muss ich nen Dienst neu starten nach aendern der hosts.allow / hosts.deny? Gruesse Juergen -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHge5AVx/HgmPVT0cRAvdWAKC2zsWTaD/RuwVqbiGnbQ/liSjhPwCfZDPd 2scr8BV1HrdarIOdxlZDYsA= =D6cT -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag, 7. Januar 2008 10:17:52 schrieb j.echter:
Andre Tann schrieb:
Daran ist nur falsch, daß der named an ippp0 lauscht. Das soll er nicht, und das kann man irgendwo in der namd.conf auch abstellen. Schau mal da rein, ist irgendwo kommentiert.
ist abgeschaltet.
Den nfs-Server kriegst Du via hosts.allow und hosts.deny von ippp0 weg. Schau auch in diese Dateien rein, sind ganz gut kommentiert.
Damit komm ich leider nicht ganz klar :)
Habe in hosts.deny folgendes:
portmap:ALL lockd:ALL mountd:ALL rquotad:ALL statd:ALL
und in hosts.allow dieses:
portmap: 192.168.0.2 lockd: 192.168.0.2 mountd: 192.168.0.2 rquotad: 192.168.0.2 statd: 192.168.0.2
trotzdem sieht das ganze dann noch so aus:
PORT STATE SERVICE 111/tcp open rpcbind 2049/tcp open nfs
Wenn ich das alles richtig verstanden habe, sollte es nun passen. Oder muss ich nen Dienst neu starten nach aendern der hosts.allow / hosts.deny?
Schau mal via netstat -tan nach, welche IP bei diesem Dienst anzeigt. Ist es die öffentliche oder die Lokale. Bye Michael -- Worte verbinden nur, wo unsere Wellenlängen längst übereinstimmen. -- Max Frisch _____________________________________________________________________________ http://macbyte.info/ Mobile Loadavg.: 0.96 1.14 0.94 http://dattuxi.de/ Registered Linux User #228306 Linux 2.6.22-14-x86_64 ICQ #151172379 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Michael Raab schrieb:
Schau mal via netstat -tan nach, welche IP bei diesem Dienst anzeigt. Ist es die öffentliche oder die Lokale.
Bye Michael
Hallo Michael, netstat -tan zeigt folgendes (schreibe nur die Stellen rein die die ip 0.0.0.0 haben): tcp 0 0 0.0.0.0:2049 0.0.0.0:* LISTEN tcp 0 0.0.0.0.0:904 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:777 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN Gruesse Juergen -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHgfIFVx/HgmPVT0cRApk2AJ4t6LF6BtNuGH7ENufe3mFXNrZhVgCfQyiu 3ZfI45CKf/U+gNBIwqK6ybM= =Hmvd -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag, 7. Januar 2008 10:33:58 schrieb j.echter:
Michael Raab schrieb:
Schau mal via netstat -tan nach, welche IP bei diesem Dienst anzeigt. Ist es die öffentliche oder die Lokale.
Bye Michael
Hallo Michael,
netstat -tan zeigt folgendes (schreibe nur die Stellen rein die die ip 0.0.0.0 haben):
tcp 0 0 0.0.0.0:2049 0.0.0.0:* LISTEN tcp 0 0.0.0.0.0:904 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:777 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
Das zeigt, dass die Dienste an jedem Interface (ethX pppX usw.) lauschen. Bye Michael -- Früh arbeiten macht nur früh müde. _____________________________________________________________________________ http://macbyte.info/ Mobile Loadavg.: 2.64 1.60 1.11 http://dattuxi.de/ Registered Linux User #228306 Linux 2.6.22-14-x86_64 ICQ #151172379 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Michael Raab schrieb:
Das zeigt, dass die Dienste an jedem Interface (ethX pppX usw.) lauschen.
Bye Michael
Dann bin ich leider ratlos :( -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHgfs/Vx/HgmPVT0cRAtbOAJ9/3VFxk16nQW9nN+1mEYAMsFnT+wCdEaxp wOGcVoCgroNzIz7a6IDqWo8= =Vbvs -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 j.echter schrieb:
trotzdem sieht das ganze dann noch so aus:
PORT STATE SERVICE 111/tcp open rpcbind 2049/tcp open nfs
Hi, also mit dem hosts.deny und hosts.allow hab ich was falsch verstanden. NFS ist tatsaechlich gesperrt, lauscht aber noch auf ippp0. Sinn von hosts.deny ist ja nur unerwuenschte connections abzulehnen, nicht aber um an nem anderen Device zu lauschen. Korrekt? :) Gruesse Juergen -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHggJiVx/HgmPVT0cRAntkAJ9iGfFEelO7570qMb2ZFu4bzBxidgCgnOeN gqeIEWKGlBrJqvN21rAVMMM= =30li -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
Andre Tann -
j.echter -
Michael Raab