Ports schliessen - openSUSE Users (Deutsch) - openSUSE Mailing Lists

newer
gcdmaster unter Suse 7.2

Ports schliessen

older
Sound unter Linux

Thomas

8 Mar 2002 8 Mar '02

15:50

Hallo Liste! Wie kann ich einzelne Ports wirklich schliessen? Wenn ich zb.: iptables -A INPUT -p TCP --sport 22 -j DROP iptables -A INPUT -p TCP --dport 22 -j DROP iptables -A OUTPUT -p TCP --sport 22 -j DROP iptables -A OUTPUT -p TCP --dport 22 -j DROP eingebe und dann mit nmap einen scan ausführe, zeigt der mir das Port 22 nur als gefiltert an und nicht als geschlossen. Was kann ich tun? mfg Thomas Mayr

Reply

Sign in to reply online Use email software

Show replies by date

Peter Wiersig

8 Mar 8 Mar

16:09

On Fri, Mar 08, 2002 at 04:50:52PM +0100, Thomas wrote:

Wie kann ich einzelne Ports wirklich schliessen? Wenn ich zb.: iptables -A INPUT -p TCP --sport 22 -j DROP

eingebe und dann mit nmap einen scan ausführe, zeigt der mir das Port 22 nur als gefiltert an und nicht als geschlossen. Was kann ich tun?

a) es ignorieren b) den ssh-daemon nur bei Bedarf starten c) iptables -A INPUT -p tcp --dport 22 -j REJECT --reject-with tcp-reset Peter

Reply

Sign in to reply online Use email software

Sebastian Helms

10 Mar 10 Mar

23:56

Moin Thomas, * Thomas schrieb am 08 Mar 2002:

Wie kann ich einzelne Ports wirklich schliessen?

Das kommt darauf an, was du als "schließen" bezeichnest.

Wenn ich zb.: iptables -A INPUT -p TCP --sport 22 -j DROP iptables -A INPUT -p TCP --dport 22 -j DROP iptables -A OUTPUT -p TCP --sport 22 -j DROP iptables -A OUTPUT -p TCP --dport 22 -j DROP

eingebe und dann mit nmap einen scan ausführe, zeigt der mir das Port 22 nur als gefiltert an und nicht als geschlossen.

Ja, ist ja auch richtig so. "filtered" heißt, daß auf eine Anfrage an den Port keine Antwort kommt, so als wenn unter der IP gar kein Rechner erreichbar wäre. "closed" heißt, daß auf eine Anfrage an den Port ein "RST" zurückkommt. Der Kernel des betreffenden Rechnerst sagt also dem Fragenden "Unter der IP läuft zwar ein Rechner, aber auf dem Port lauscht kein Serverprozeß." Was willst du? für filtered hast du es ja schon, für closed mußt du dem sshd sagen, daß er nur auf bestimmten Netzwerkdevices lauschen soll. Gruß, Sebastian -- Do not meddle in the affairs of sysadmins, for they are subtle and quick to anger. Sebastian Helms - http://www.helms.sh - mailto:mail@helms.sh (PGP welcome) SuSE-Linux-Mailinglisten-FAQ: http://www.helms.sh/faq/

Reply

Sign in to reply online Use email software

Thomas

11 Mar 11 Mar

09:14

Am Montag 11 März 2002 00:56 schrieb Sebastian Helms:

Moin Thomas,

* Thomas schrieb am 08 Mar 2002:

...
Wie kann ich einzelne Ports wirklich schliessen?

Das kommt darauf an, was du als "schließen" bezeichnest.

...
Wenn ich zb.: iptables -A INPUT -p TCP --sport 22 -j DROP iptables -A INPUT -p TCP --dport 22 -j DROP iptables -A OUTPUT -p TCP --sport 22 -j DROP iptables -A OUTPUT -p TCP --dport 22 -j DROP

eingebe und dann mit nmap einen scan ausführe, zeigt der mir das Port 22 nur als gefiltert an und nicht als geschlossen.

Ja, ist ja auch richtig so.

"filtered" heißt, daß auf eine Anfrage an den Port keine Antwort kommt, so als wenn unter der IP gar kein Rechner erreichbar wäre.

"closed" heißt, daß auf eine Anfrage an den Port ein "RST" zurückkommt. Der Kernel des betreffenden Rechnerst sagt also dem Fragenden "Unter der IP läuft zwar ein Rechner, aber auf dem Port lauscht kein Serverprozeß."

Was willst du?

für filtered hast du es ja schon, für closed mußt du dem sshd sagen, daß er nur auf bestimmten Netzwerkdevices lauschen soll.

Gruß,

Sebastian

Hi, Mit Ports schliessen meine ich, dass ich sie deaktivieren moechte, um sie fuer einen Einbruch unbrauchbar zu machen - sogut als moeglich :-) Was kann ich denn da machen? mfg Tomas Mayr

Reply

Sign in to reply online Use email software

Bernd Schmelter

10:05

On Mon, Mar 11, 2002 at 10:14:35AM +0100, Thomas wrote:

Am Montag 11 März 2002 00:56 schrieb Sebastian Helms:

...
Moin Thomas,

* Thomas schrieb am 08 Mar 2002:

...
Wie kann ich einzelne Ports wirklich schliessen?

[...]

Hi,

Mit Ports schliessen meine ich, dass ich sie deaktivieren moechte, um sie fuer einen Einbruch unbrauchbar zu machen - sogut als moeglich :-) Was kann ich denn da machen?

keine Dienste anbieten, Dienst auf localhost binden, Dienst auf interne NIC binden - in den genannten Fällen brauchst Du kein Packetfilter.

mfg Tomas Mayr

MfG Benn -- #250319 - http://counter.li.org

Reply

Sign in to reply online Use email software

Thomas

10:13

Am Montag 11 März 2002 11:05 schrieb Bernd Schmelter:

On Mon, Mar 11, 2002 at 10:14:35AM +0100, Thomas wrote:

...
Am Montag 11 März 2002 00:56 schrieb Sebastian Helms:

...
Moin Thomas,

* Thomas schrieb am 08 Mar 2002:

...
Wie kann ich einzelne Ports wirklich schliessen?

[...]

...
Hi,

Mit Ports schliessen meine ich, dass ich sie deaktivieren moechte, um sie fuer einen Einbruch unbrauchbar zu machen - sogut als moeglich :-) Was kann ich denn da machen?

keine Dienste anbieten, Dienst auf localhost binden, Dienst auf interne NIC binden - in den genannten Fällen brauchst Du kein Packetfilter.

...
mfg Tomas Mayr

MfG Benn

Hi, Vielen Dank - doch da hab ich gleich eine dumme Frage : Wie geht denn des ganze für ssh,telnet,finger,http,auth und login ? mfg Thomas Mayr

Reply

Sign in to reply online Use email software

Ulli Kuhnle

10:48

* Thomas [020311 11:13]:

Vielen Dank - doch da hab ich gleich eine dumme Frage : Wie geht denn des ganze für ssh,telnet,finger,http,auth und login ?

Schau mal in deine /etc/inetd.conf. Da kannst du die Dienste, die du nicht brauchst auskommentieren. -- Gruß - Ulli

Reply

Sign in to reply online Use email software

Bernd Schmelter

11:01

On Mon, Mar 11, 2002 at 11:48:31AM +0100, Ulli Kuhnle wrote:

* Thomas [020311 11:13]:

...
Vielen Dank - doch da hab ich gleich eine dumme Frage : Wie geht denn des ganze für ssh,telnet,finger,http,auth und login ?

Schau mal in deine /etc/inetd.conf. Da kannst du die Dienste, die du nicht brauchst auskommentieren.

Seine Frage kam hier auch per PM an, deshalb auch so geantwortet. Also dann hier nochmal das Beispiel sshd an Interface binden für die Liste. /etc/ssh/sshd_config: ListenAddress 198.168.x.x Bei Protocol sollte nur eine 2 stehen - der inetd ist mir suspect, weshalb ich lieber die Dämonen einzeln laufen lasse.

-- Gruß - Ulli

MfG Benn -- #250319 - http://counter.li.org

Reply

Sign in to reply online Use email software

Christian Schmidt

21:14

Ulli Kuhnle schrieb am Mon, Mar 11, 2002 at 11:48:31AM +0100:

* Thomas [020311 11:13]:

...
Vielen Dank - doch da hab ich gleich eine dumme Frage : Wie geht denn des ganze für ssh,telnet,finger,http,auth und login ?

Schau mal in deine /etc/inetd.conf. Da kannst du die Dienste, die du nicht brauchst auskommentieren.

Am besten installierst Du Dir auch noch den xinetd. Der ersetzt den "alten" inetd und bietet u.a. den Vorteil, dass man die von ihm verwalteten Dienste auf bestimmte Netzwerkinterfaces beschraenken kann. ...und wo kein Dienst lauscht, kann auch keiner "exploitet" werden. Gruß, Christian -- Christian Schmidt | Germany | christian@siebenbergen.de No HTML Mails, please!!

Reply

Sign in to reply online Use email software

Sebastian Helms

17:34

Moin Thomas, * Thomas schrieb am 11 Mar 2002:

Am Montag 11 März 2002 00:56 schrieb Sebastian Helms:

...
* Thomas schrieb am 08 Mar 2002:

...
Wie kann ich einzelne Ports wirklich schliessen?

Das kommt darauf an, was du als "schließen" bezeichnest.

Mit Ports schliessen meine ich, dass ich sie deaktivieren moechte, um sie fuer einen Einbruch unbrauchbar zu machen - sogut als moeglich :-) Was kann ich denn da machen?

Zum Beispiel - wie schon geschehen - durch eine Firewall nach außen "filtern". Alternativ kannst du den Serverprozessen mitteilen, daß sie nur an einer bestimmten IP oder einem Netzwerkinterface lauschen sollen. Wie das geht ist von Programm zu Programm verschieden, siehe auch man programm *g* Wenn die Server vom inetd gestartet werden und über die TCP-Wrapper aufgerufen werden (in der entsprechenden Zeile in inetd.conf steht ein /usr/sbin/tcpd vor dem Servernamen), dann kannst du auch /etc/hosts.allow und /etc/hosts.deny entsprechend konfigurieren; allerdings ist der Port dann nicht zu. Dann verbietet der tcpd nur eingehende Verbindungen. Das sicherste ist - bei richtiger Konfiguration - den Servern zu sagen, daß sie nur auf einer bestimmten IP lauschen sollen. Gruß, Sebastian -- Do not meddle in the affairs of sysadmins, for they are subtle and quick to anger. Sebastian Helms - http://www.helms.sh - mailto:mail@helms.sh (PGP welcome) SuSE-Linux-Mailinglisten-FAQ: http://www.helms.sh/faq/

Reply

Sign in to reply online Use email software

8094

Age (days ago)

8097

Last active (days ago)

Download

9 comments

6 participants

tags

participants (6)

Bernd Schmelter
Christian Schmidt
Peter Wiersig
Sebastian Helms
Thomas
Ulli Kuhnle