:strip_exif()/u/7781/got_icon.gif?f=community){kind=icon}
Ik ben bezig met het configgen van een firewall en daarbij hoor natuurlijk het testen. Om te kijken welke poorten er nog open staan heb ik nmap geïnstalleerd en gedraaid. Het rapportje van poorten ziet er dan als volgt uit:
Dat zijn er naar mijn idee nog te veel, helemaal als je dan m'n FireHOL config bekijkt. FireHOL is een stukje software wat het maken van iptables een stuk makkelijker maakt. De configuratie is leesbaarder en genereerd uiteindelijk de goede iptables config (tenminste, daar ga ik dan maar van uit
).
In die configuratie staat het volgende:
Bovenstaande komt er op neer dat ik twee mogelijkheden heb voor dezelfde interface. Of een request komt van de LAN, of ergens anders vandaan. In beide gevallen is de default policy drop, dus standaard staat alles dicht en wordt er geen responce gegeven. Binnen de LAN zijn de services http, samba, ssh en een custom service voor nessus toegestaan. Daar buiten alleen http en ssh.
Naar mijn idee zouden dus voor bijv. LAN alleen de poorten voor http, samba, ssh en 1241 open moeten staan. Wat doen die andere poorten toch in de 'open' lijst en hoe krijg ik ze dicht? Ik neem aan dat ik zelf uit mag maken of ik bepaalde poorten open of dicht wil hebben tenminste
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
| PORT STATE SERVICE 9/tcp open discard 13/tcp open daytime 22/tcp open ssh 37/tcp open time 80/tcp open http 111/tcp open rpcbind 113/tcp open auth 139/tcp open netbios-ssn 445/tcp open microsoft-ds 548/tcp open afpovertcp 631/tcp open ipp 908/tcp open unknown 1241/tcp open nessus |
Dat zijn er naar mijn idee nog te veel, helemaal als je dan m'n FireHOL config bekijkt. FireHOL is een stukje software wat het maken van iptables een stuk makkelijker maakt. De configuratie is leesbaarder en genereerd uiteindelijk de goede iptables config (tenminste, daar ga ik dan maar van uit
).In die configuratie staat het volgende:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
| lan="192.168.2.0/24"
dst="192.168.2.101/32"
interface eth0 lan src "${lan}" dst "${dst}"
policy drop
server http accept
server samba accept
server ssh accept
server custom nessus tcp/1241 default accept
client all accept
interface eth0 internet src not "${UNROUTABLE_IPS} ${lan}" dst "${dst}"
policy drop
server http accept
server ssh accept
client all accept |
Bovenstaande komt er op neer dat ik twee mogelijkheden heb voor dezelfde interface. Of een request komt van de LAN, of ergens anders vandaan. In beide gevallen is de default policy drop, dus standaard staat alles dicht en wordt er geen responce gegeven. Binnen de LAN zijn de services http, samba, ssh en een custom service voor nessus toegestaan. Daar buiten alleen http en ssh.
Naar mijn idee zouden dus voor bijv. LAN alleen de poorten voor http, samba, ssh en 1241 open moeten staan. Wat doen die andere poorten toch in de 'open' lijst en hoe krijg ik ze dicht? Ik neem aan dat ik zelf uit mag maken of ik bepaalde poorten open of dicht wil hebben tenminste
Een vergissing is menselijk, maar om er echt een puinhoop van te maken heb je een computer nodig.
/u/31090/bla.png?f=community)
Dit topic is gesloten.