Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.

Autor Téma: Jak omezit určitý port a vrátit původní nastavení iptables (Firestarter)?  (Přečteno 3609 krát)

kejml

  • Návštěvník
  • *
  • Příspěvků: 60
    • Zobrazit profil
Zdravím všechny !

Zprovoznil jsem si v práci na jedné volné, veřejné IP testovací "servřík" kde mi běží LAMP.
Server je pro jistotu zapojený jen na té veřejné IP mimo naši LAN, ikdyž ta IP je z rozsahu asi 4 adres, které
máme od providera k připojení.

Několikrát jsem ten stroj testoval,skenoval apod. a viděl jsem jen porty 22, 25 a 80, což bylo
v pořádku.

Před pár dny se mi ale stala zajímavá věc. Z naší lokální sítě se na ten web nedostanu, z internetu a odjinud bez problému. Když si dám ping na www.mojedomena.cz tak všechno běží. Přes http mi to ale ukáže že stránku nelze zobrazit. Ta IP je na jednom z portů našeho routeru,takže tam by problém být neměl...

Dost mě ale udivil fakt,když jsem to skenoval a zjistil, že mám otevřené porty 22,25 a 53 (Domain).
Hacknul mi to někdo ? Jak můžu zakázat ten port 53 a popřípadě pro jistotu vrátit nastavení IP TABLES do originální stavu, abych si mohl být 100% jistý ? Pro definování pravidel atd. používám FIRESTARTER a nejsem si jist, jestli nemá mimo iptables ještě někde nějaký svůj konfigurák,kde by třeba po případném útoku mohly být nějaké změny, povolený ten port 53 apod.

Poradí mi někdo prosím ?

klasyc

  • Člen
  • **
  • Příspěvků: 470
    • Zobrazit profil
Dobrý den,

Proč se k serveru nedostanete z lokální sítě? Protože Vy nejste (myslím si) připojen přímo k veřejné adrese, ale provider Vám přidělil nějakou jinou a ta se na tu veřejnou přepisuje až někde v jeho routeru (NAT - network address translation). Výsledkem je, že pokud přijde "zvenku" požadavek na Vaší veřejnou IP, přijde na server providera a ten požadavek přesměruje na Vaši vnitřní adresu. Pokud byste tedy chtěl přistoupit k serveru z vnitřní sítě, musel byste zadat Vaší vnitřní adresu (zjistíte příkazem ifconfig).

Pokud jde o druhý problém, firestarter neznám, ale obecně lze ale říci, že iptables je v Ubuntu standardně dodávaný bez jakýchkoliv pravidel, ty si musíte vytvořit sám nebo je tam nabouchat přes ten firestarter. Pokud chcete vědět, co přesně máte nastaveno, pak bude nejlepší najít nějaké howto na iptables. Tam nastudujete jednotlivé příkazy. Pak pomocí příkazu iptables-save > soubor uložíte aktuální nastavení firewallu do souboru a můžete si ho prohlédnout, případně upravit - buď ve firestarteru a nebo přímo v tom souboru - pak byste příkazem iptables-restore < soubor nahrál pravidla zpátky (to by se musel dělat každý nový start počítače).

Pokud jde o otevřený port 53, nedělal bych si s ním takové starosti. Slouží ke komunikaci s DNS servery. Možná je otevřený proto, že máte třeba nainstalovaný jmenný server (bind9) a ani o tom nevíte. Spíš bych se bál portu 22, protože by se tam někdo mohl připojit přes SSH. Sice si možná říkáte, že by musel znát heslo, ale na druhou stranu existují roboti, kteří ta hesla prostě systematicky zkoušejí. Doporučoval bych tam přidat třeba ještě zabezpečení certifikátem a nebo alespo'n omezit přístup na jen z několika IP adres (z práce, ze školy apod.)

kejml

  • Návštěvník
  • *
  • Příspěvků: 60
    • Zobrazit profil
Dobrý den,

mockrát díky za reakci na můj příspěvek.

Situace je trošku jiná, pokusím se vysvětlit.

Server je skutečně připojen přímo na VEŘEJNÉ IP adrese u provozovatele. Máme od providera 5 IP adres pro celou firmu a tyto jsou přímo jako jeden subnet na našem hlavním routeru. V serveru nemám druhou síťovku a běží tedy jen na té veřejné. Mám to tak udělané záměrně, jelikož z vnitřní sítě na něj vůbec nepotřebuju přistupovat a taky pro jistotu kvůli zabezpečení. Jen to testuji a nechci někomu, v případě že něco špatně nastavím, zřídit tímto způsobem nějaký "VPN tunel" do naší firmy. ;-)

Do teď mi tady odsud z firmy přístup přes http protokol normálně fungoval, ale teď ani ťuk...nemohlo se třeba stát, že by mi to nějak blokoval náš linuxový server na kterém běží anti-spam nebo tak něco ? To je jediné co mě napadá, protože na tom mém testovacím Ubuntu mi běží postfix který přebírá a přesměrovává poštu z mé domény, tedy funguje v podstatě jen jako taková obdoba doménového koše, ale s tím, že prebírá jen poštu pro existující uživatele na tom Ubuntu. Pokud by ten spamový server na příklad nějak zařadil doménu toho mého Ubuntu na blacklist, je potom možný, že by mi nefungovala ani komunikace ode mě směrem k tomu mému Ubuntu serveru (na tom linuxu kde běží anti-spam je totiž i DNS server) přes protokol http ? Podstatná informace je, že mi odsud ze sítě na můj Ubuntu server jde normálně pingnout na www.mojedomena.cz a taky se připojím se i přes SCP. Nefunguje tedy jen http.

V IP Tables mám samozřejmě nadefinována všechna pravidla, která potřebuju k životu. Jenže IP tables zatím nějak extrémně nerozumím a tak jsem pro jistotu pro zadání pravidel použil grafické rozhraní FireStarteru.

Port 22 mám otevřen záměrně kvůli dálkové správě a pochopitelně jej mám omezen pouze na 2 IP adresy.

Vyzkoušel jsem a překontroloval už snad úplně všechno. Začínám se ale motat v bludném kruhu a tak už mě nic nového nenapadá a asi začínám vymýšlet prkotiny ... :-(
« Poslední změna: 15 Listopad 2007, 15:32:59 od kejml »

kejml

  • Návštěvník
  • *
  • Příspěvků: 60
    • Zobrazit profil
Hotovo, vyřešeno, můžete locknout ...

Jen pro info - nakonec se jednalo o nějakou chybu v routování mezi těma sítěma, která byla způsobená úúúplně mimo Ubuntu
na našem druhém linuxovém serveru ...