FC4 iptables en open poorten vraag - Linux en overige clients

donderdag 22 september 2005 03:28

Acties:

Verwijderd

Topicstarter

Hallo

Ik heb een vraag over iptables... 3 dagen geleden heb ik FC4 geinstalleerd. Ging wat moeizaam omdat hij mijn 2x250Gb S-ATA vertikte te herkennen, maar goed. Tijdens opstarten heb ik naar mijn weten niets aangevinkt als services die bereikbaar moeten zijn op mijn PC.

Nu kijk ik naar mijn /etc/sysconfig/iptables en die ziet er zo uit:

code:

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

Of dit helemaal goed is weet ik niet, 50 schijnt voor email te zijn, 51 weet ik nog niet. De iptables voorbeelden die ik op het web vind zien er in ieder geval heel anders uit.

Maar goed, als ik via de www.grc.com portscanner kijk, dan geeft die aan dat poort 21 (ftp), 23 (telnet), 254 (??) en 255 (??) open staan! Ik heb liever geen open poorten natuurlijk.

Nu draait er geen ftp of telnet daemon dus zelfs al staan die poorten open dan is het geen ramp. Maar netstat -tul laat ook niets zien dat op die poorten luistert.

Iemand een idee waarom die scanner mijn poorten als open ziet? De website is trouwens http://www.grc.com/x/ne.dll?rh1dkyd2 en de auteur is toch een erg bekende 'hacker'.

Overigens, dit is de output van "nmap localhost":

code:

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-09-21 20:30 CDT
Interesting ports on localhost.localdomain (127.0.0.1):
(The 1660 ports scanned but not shown below are in state: closed)
PORT     STATE SERVICE
25/tcp   open  smtp
111/tcp  open  rpcbind
6000/tcp open  X11

Nmap finished: 1 IP address (1 host up) scanned in 0.245 seconds

Waarom 25 en 111 hier bij staan, weet ik nog niet (ben nog niet zo bekend met linux). Maar ook hier staan poorten 21, 23, 254 en 255 niet in...

BVD!

donderdag 22 september 2005 08:42

Acties:

Wirehead

poort 25 is een mailserver die je best aflsuit van de buitenwereld.

Voeg deze regels toe in het script:
-A RH-Firewall-1-INPUT -p 21 -j REJECT
-A RH-Firewall-1-INPUT -p 23 -j REJECT
-A RH-Firewall-1-INPUT -p 25 -j REJECT
-A RH-Firewall-1-INPUT -p 111 -j REJECT
-A RH-Firewall-1-INPUT -p 254 -j REJECT
-A RH-Firewall-1-INPUT -p 255 -j REJECT
-A RH-Firewall-1-INPUT -p 6000 -j REJECT

Poort 6000 is bvb om een remote X connection te verkrijgen, dit wil je echt nie open hebben.
Op deze manier worden de poorten weldegelijk gesloten.

Denon AVR-X2800H, Quadral Amun Mk.III, Technics SL-7, DIY PhonoPre, AT-152LP / 4.225kW Heckert Solar / SMA 3.0-1AV-41 / Kia e-Niro 64kWh First Edition

donderdag 22 september 2005 10:24

Acties:

Valium

- rustig maar -

lees de eerste twee regels vooral goed:

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.

Dus je wilt dat tooltje gebruiken om die zaken aan te passen.

Overigens maakt het niet echt veel uit als je firewall niet alles tegenhoud. Als er geen services achter draaien (test zelf maar eens door te telnetten naar die poort), dan kan niemand er wat mee. Als je je updates ook netjes installeert zodat er geen bekende exploits in je services zitten, heb je zelfs helemaal geen firewall nodig.

Ik herhaal ook even het stukje van Evil_Homer: poort 6000 wil je niet open hebben. Je kunt dit sluiten d.m.v. de firewall, maar je kunt ook de X-server /display manager vertellen dat er geen verbinding over het netwerk geaccepteerd moeten worden. Dan ben je daar ook vanaf.

Zet ook poort 25 en 111 dicht, je hebt waarschijnlijk alleen een mailserver nodig voor "local delivery", dus die poort hoeft helemaal niet open te staan. En rpc (poort 111) gebruik je voor NFS en dergelijke. Als je dat niet gebruikt kun je dat ook van je systeem afhalen, en ben je helemaal leeg.

donderdag 22 september 2005 10:44

Acties:

DeMoN

Pastafari

Zoek even het/de bestand(en) Xservers op.

code:

1	find / -name 'Xservers'

of

code:

1
2
3

su
updatedb
locate Xservers

Daar zal zoiets in staan:

code:

# Xservers - local X-server list 
# 
# This file should contain an entry to start the server on the 
# local display; if you have more than one display (not screen), 
# you can add entries to the list (one per line). 
# If you also have some X terminals connected which do not support XDMCP, 
# you can add them here as well; you will want to leave those terminals 
# on and connected to the network, else kdm will have a tougher time 
# managing them. Each X terminal line should look like: 
#       XTerminalName:0 foreign 
# 

:0 local@tty1 /usr/X11R6/bin/X vt7 
:1 local@tty2 reserve /usr/X11R6/bin/X -nolisten tcp :1 vt8 
:2 local@tty3 reserve /usr/X11R6/bin/X -nolisten tcp :2 vt9 
#:3 local@tty4 reserve /usr/X11R6/bin/X -nolisten tcp :3 vt10 
#:4 local@tty5 reserve /usr/X11R6/bin/X -nolisten tcp :4 vt11

Zorg er iig voor dat deze line:

code:

1	:0 local@tty1 /usr/X11R6/bin/X vt7

Er zo uit komt te zien:

code:

1	:0 local@tty1 /usr/X11R6/bin/X -nolisten tcp :0 vt7

Dan heb je je poort 6000 probleem iig opgelost

Verder kan je die services die je niet wilt draaien in Fedora wel ergens met een mooi GUI'tje uitzetten zodat ze iig niet meer opstarten bij de boot (Zou niet weten waar, 4x met Fedora gewerkt en weet dus alleen dat het met een GUI tool kan

)

[ Voor 14% gewijzigd door DeMoN op 22-09-2005 10:47 ]

Gamertag: Cosmicv0id
"Het woord Gods is voor mij niets meer dan een expressie en het product van menselijke zwakheid. De Bijbel is een verzamelwerk van legendes die achtenswaardig zijn maar ook primitief en kinderachtig.'' - Albert Einstein

donderdag 22 september 2005 12:15

Acties:

Guru Evi

Wat gebeurt er als je van extern telnet naar die poorten. Het kan zijn dat de poorten volgens een scanner openstaan maar dat met die icmp-host-prohibited verbindingen geweigerd worden.

-p 50 en -p 51 is voor IPSec (protocol 50 en 51, niet poort).

Ipv. die INPUT ACCEPT zou ik INPUT DROP zetten hetzelfde voor FORWARD.

En als je nmap localhost doet ga je inderdaad alle open poorten terugvinden (maar goed ook). Je moet van een andere machine naar je poort nmappen. Als je wil doe ik het wel even.

[ Voor 22% gewijzigd door Guru Evi op 22-09-2005 12:16 ]

Pandora FMS - Open Source Monitoring - pandorafms.org

vrijdag 23 september 2005 01:31

Acties:

Verwijderd

Topicstarter

Bedankt voor het aanbod

Ik vond online echter ook een nmap frontend en dit is het resultaat:

code:

Port       State       Service
21/tcp     open        ftp                     
23/tcp     open        telnet                  
80/tcp     filtered    http                    
135/tcp    filtered    loc-srv                 
137/tcp    filtered    netbios-ns              
139/tcp    filtered    netbios-ssn             
254/tcp    open        unknown                 
255/tcp    open        unknown                 
445/tcp    filtered    microsoft-ds

Dat is hetzelfde reultaat als de grc.com scanner.

Ik snap alleen niet waarom die poorten open staan. Ik heb me inmiddels wat verdiept in hoe iptables werkt, maar zie niet zo 1-2-3 waarom mijn configuratie die poorten open laat staan...

code:

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

Alle voorbeelden die ik kan vinden beginnen meestal met 'drop alles' gevolgd door de uitzonderingen die je wel open wil hebben. De standaard Fedora iptables heeft echter nogal een andere opbouw, zie hierboven.

Ik zal nog eens verder kijken naar wat er mis is in mijn iptables, maar is er misschien iemand die meteen ziet waarom poorten 21, 23, 254 en 255 toegestaan worden? Ze worden zo te zien nergens op 'accept' gezet, of ben ik nou blind?

Wederom BVD

vrijdag 23 september 2005 02:31

Acties:

Coen Rosdorff

Run eens een 'iptables -vnL' en 'iptables -vnL -t nat'
Ik heb een vaag vermoeden dat er ergens nog iets meer script is dan je hier laat zien. Ik ken FC4 verder niet....

vrijdag 23 september 2005 13:48

Acties:

Verwijderd

Verwijderd schreef op vrijdag 23 september 2005 @ 01:31:
Ik zal nog eens verder kijken naar wat er mis is in mijn iptables, maar is er misschien iemand die meteen ziet waarom poorten 21, 23, 254 en 255 toegestaan worden? Ze worden zo te zien nergens op 'accept' gezet, of ben ik nou blind?

Ik gok dat je modem/router een filter aan heeft staan en dat je vergeten bent die uit te zetten

Telnet (en ook ftp) is typisch zo'n poort wat vaak voor beheer wordt opengezet op een modem. Redhat zet telnet standaard uit. Die 254 en 255 kan ik ook niet direkt plaatsen, DHCP misschien?

vrijdag 23 september 2005 23:17

Acties:

Verwijderd

code:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT

^^^ van localhost alles accepteren

code:

1	-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT

^^^ icmp verkeer toestaan (voor ping enzo)

code:

1 2	-A RH-Firewall-1-INPUT -p 50 -j ACCEPT -A RH-Firewall-1-INPUT -p 51 -j ACCEPT

^^^ ipsec (esp / ah ) als ik me niet vergis

code:

1	-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT

^^^ dit is voor rendezvous ofzo

code:

1	-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT

^^^ dit is voor printer discovery met cups om remote printer announcements te kunnen ontvangen

code:

1	-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

state matching zooi

code:

1	-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

^^^ ssh toestaan vanaf buiten

code:

1	-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

^^^ de rest krijgt host prohibited...
COMMIT
[/code]

Dus:

code:

[fkooman@silver fkooman]$ telnet dilithium 234
Trying 192.168.1.50...
telnet: connect to address 192.168.1.50: No route to host
[fkooman@silver fkooman]$

Hij staat dus niet open, maar je krijgt een andere melding. Ik weet niet waarom dit zo gedaan is ipv drop, maar het heeft vast een goede rede (misschien minder systeem belasting ofzo). Die scanner van grc is dus niet goed! zie ook http://www.grcsucks.com voor wat kritiek op 'hacker' Steven.

Overigens: de mensen die hier roepen dat TS dit en dat enzovoorts moet doen, verdiep je er eerst eens in voordat je dingen roept die onzinnig zijn

je brengt mensen er alleen mee in de war!

Overigens kun je handmatig poorten openzetten met system-config-securitylevel (Desktop, System Settings, Security Level). Ook kun je daar handmatig poorten invoeren die open moeten. De default firewall van Fedora is dus WEL veilig ook al doet GRC je anders geloven.

@ website grc.com:

The industry's #1 hard drive data recovery
software is NOW COMPATIBLE with NTFS,
FAT, Linux, and ALL OTHER file systems!

Linux is geen filesystem Steve...goed bezig

[ Voor 6% gewijzigd door Verwijderd op 23-09-2005 23:20 ]