URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 59839
[ Назад ]

Исходное сообщение
"как закрыть порт?"

Отправлено DenJ , 07-Сен-05 11:43 
есть два интерфейса, внешний eth1,
наружу светяися порт 139 хочу его закрыть средствами Iptables, делаю:
iptables -A INPUT -i eth1 -s 0/0 -d 0/0 -p tcp --dport 139 -j DROP

результата нет.
Что не так?


Содержание

Сообщения в этом обсуждении
"как закрыть порт?"
Отправлено DenJ , 07-Сен-05 12:02 
или как указать самбе не светить порты наружу?

"как закрыть порт?"
Отправлено Gregory , 07-Сен-05 12:03 
>есть два интерфейса, внешний eth1,
>наружу светяися порт 139 хочу его закрыть средствами Iptables, делаю:
>iptables -A INPUT -i eth1 -s 0/0 -d 0/0 -p tcp --dport
>139 -j DROP
>
>результата нет.
>Что не так?

А если постмотреть на counter этого рула - в него что то заходит ?
iptables -L -v -n ?


"как закрыть порт?"
Отправлено Raist , 07-Сен-05 12:30 
>есть два интерфейса, внешний eth1,
>наружу светяися порт 139 хочу его закрыть средствами Iptables, делаю:
>iptables -A INPUT -i eth1 -s 0/0 -d 0/0 -p tcp --dport
>139 -j DROP
>
>результата нет.
>Что не так?

хмм вообще странно
а если зделать проще:
iptables -A INPUT -i eth0 -p tcp -d $ETH0_IP --dport 139 -d DROP
А можно еще проще - просто запретить самбе слушать на этом интерфейсе. Щас точно нескажу (под рукой нету конфига) но там есть параметр, на каком интерфейсе слушать, по умолчанию стоит на всех....


"как закрыть порт?"
Отправлено DenJ , 07-Сен-05 13:52 
сделал так
iptables -A INPUT -i eth0 -p tcp -d 105.109.120.109 --dport 139 -о
DROP получил по каманде iptables- L -v -n

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination        
1449  138K RH-Firewall-1-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0          
    0     0 DROP       udp  --  eth1   *       0.0.0.0/0            105.109.120.109    udp dpt:139
    0     0 DROP       tcp  --  eth1   *       0.0.0.0/0            105.109.120.109    tcp dpt:139

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination        
    0     0 RH-Firewall-1-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0          

Chain OUTPUT (policy ACCEPT 241 packets, 26300 bytes)
pkts bytes target     prot opt in     out     source               destination        

Chain RH-Firewall-1-INPUT (2 references)
pkts bytes target     prot opt in     out     source               destination        
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0          
1437  137K ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0          
   12   883 ACCEPT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0          
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0          icmp type 255
    0     0 ACCEPT     esp  --  *      *       0.0.0.0/0            0.0.0.0/0          
    0     0 ACCEPT     ah   --  *      *       0.0.0.0/0            0.0.0.0/0          
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          state NEW tcp dpt:25
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          state NEW tcp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          state NEW tcp dpt:22
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0          reject-with icmp-host-prohibited

где 105.109.120.109 -адрес прова,

в smb.conf подправил inetrface, сделал
interface=eth0, чтобы слушал только eth0 интерфейс, и рестарт smb, все равно при сканировании получаю, что 139 открыт.
сканирую разными прогами из под винды


"как закрыть порт?"
Отправлено Greg , 07-Сен-05 14:11 
>сделал так
>iptables -A INPUT -i eth0 -p tcp -d 105.109.120.109 --dport 139 -о
>
>DROP получил по каманде iptables- L -v -n
>
>Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
> pkts bytes target     prot opt in  
>   out     source  
>          
> destination
> 1449  138K RH-Firewall-1-INPUT  all  --  *  
>    *      
>0.0.0.0/0          
> 0.0.0.0/0
>    0     0 DROP  
>     udp  --  eth1  
> *       0.0.0.0/0  
>         105.109.120.109  
>  udp dpt:139
>    0     0 DROP  
>     tcp  --  eth1  
> *       0.0.0.0/0  
>         105.109.120.109  
>  tcp dpt:139
>
>Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
> pkts bytes target     prot opt in  
>   out     source  
>          
> destination
>    0     0 RH-Firewall-1-INPUT  
>all  --  *      *
>      0.0.0.0/0    
>       0.0.0.0/0
>
>Chain OUTPUT (policy ACCEPT 241 packets, 26300 bytes)
> pkts bytes target     prot opt in  
>   out     source  
>          
> destination
>
>Chain RH-Firewall-1-INPUT (2 references)
> pkts bytes target     prot opt in  
>   out     source  
>          
> destination
>    0     0 ACCEPT  
>   all  --  lo    
> *       0.0.0.0/0  
>         0.0.0.0/0
> 1437  137K ACCEPT     all  --
> eth0   *      
>0.0.0.0/0          
> 0.0.0.0/0
>   12   883 ACCEPT    
>all  --  eth1   *    
>   0.0.0.0/0        
>    0.0.0.0/0
>    0     0 ACCEPT  
>   icmp --  *    
> *       0.0.0.0/0  
>         0.0.0.0/0  
>        icmp type 255
>
>    0     0 ACCEPT  
>   esp  --  *    
>  *       0.0.0.0/0  
>          0.0.0.0/0
>
>    0     0 ACCEPT  
>   ah   --  *  
>   *       0.0.0.0/0
>          
>0.0.0.0/0
>    0     0 ACCEPT  
>   all  --  *    
>  *       0.0.0.0/0  
>          0.0.0.0/0
>         state RELATED,ESTABLISHED
>
>    0     0 ACCEPT  
>   tcp  --  *    
>  *       0.0.0.0/0  
>          0.0.0.0/0
>         state NEW
>tcp dpt:25
>    0     0 ACCEPT  
>   tcp  --  *    
>  *       0.0.0.0/0  
>          0.0.0.0/0
>         state NEW
>tcp dpt:80
>    0     0 ACCEPT  
>   tcp  --  *    
>  *       0.0.0.0/0  
>          0.0.0.0/0
>         state NEW
>tcp dpt:22
>    0     0 REJECT  
>   all  --  *    
>  *       0.0.0.0/0  
>          0.0.0.0/0
>         reject-with icmp-host-prohibited
>
>
>где 105.109.120.109 -адрес прова,
>
>в smb.conf подправил inetrface, сделал
>interface=eth0, чтобы слушал только eth0 интерфейс, и рестарт smb, все равно при
>сканировании получаю, что 139 открыт.
>сканирую разными прогами из под винды

У тебя все пакеты идут вот сюда "RH-Firewall-1-INPUT" - попробуй вставить тот же rull
но первым в списке:
iptables -I INPUT 1 -i eth0 -p tcp -d 105.109.120.109 --dport 139 -j DROP

И напиши что у тебя нарисованно в smb.conf в строке с "hosts allow"


"как закрыть порт?"
Отправлено DenJ , 07-Сен-05 14:34 
>У тебя все пакеты идут вот сюда "RH-Firewall-1-INPUT" - попробуй вставить тот
>же rull
>но первым в списке:
>iptables -I INPUT 1 -i eth0 -p tcp -d 105.109.120.109 --dport 139
>-j DROP
>
первым не вставляется, говорит Bad argument `1'
сейчас пытаюсь разобраться в синтаксисе iptables 1.2.8

>И напиши что у тебя нарисованно в smb.conf в строке с "hosts
>allow"
hosts allow = 192.168.1.
это внутрення сеть


"как закрыть порт?"
Отправлено Greg , 07-Сен-05 14:53 
>>У тебя все пакеты идут вот сюда "RH-Firewall-1-INPUT" - попробуй вставить тот
>>же rull
>>но первым в списке:
>>iptables -I INPUT 1 -i eth0 -p tcp -d 105.109.120.109 --dport 139
>>-j DROP
>>
>первым не вставляется, говорит Bad argument `1'
>сейчас пытаюсь разобраться в синтаксисе iptables 1.2.8
>
>>И напиши что у тебя нарисованно в smb.conf в строке с "hosts
>>allow"
>hosts allow = 192.168.1.
>это внутрення сеть

Вырезка из man iptables:

iptables [-t table] -I chain [rulenum] rule-specification [options] - у меня все работает - преверял только что - правило влезает первым. Что за ошибку он тебе пишет ?
Да кстати, для тэста можешь грохнуть rull с RH-Firewall-1-INPUT - посмотри что получится .



"как закрыть порт?"
Отправлено DenJ , 07-Сен-05 15:13 
вот начало выводимое по запросу iptables --help

Usage: iptables -[AD] chain rule-specification [options]
       iptables -[RI] chain rulenum rule-specification [options]
       iptables -D chain rulenum [options]
       iptables -[LFZ] [chain] [options]
       iptables -[NX] chain
       iptables -E old-chain-name new-chain-name
       iptables -P chain target [options]
       iptables -h (print this help information)
для опции -A нет rulenum,

при вводе команды получаю
iptables -A INPUT 1 -i eth1 -p tcp -d 105.109.120.109 --dport 139 -j DROP
Bad argument `1'
Try `iptables -h' or 'iptables --help' for more information.

правила RH сейчас удалю


"как закрыть порт?"
Отправлено DenJ , 07-Сен-05 15:32 
после сброса правил RH, все OK! :-)
спасибо большое за помощь

"как закрыть порт?"
Отправлено Greg , 07-Сен-05 15:59 
>после сброса правил RH, все OK! :-)
>спасибо большое за помощь

В следующий раз используй опцию "-I" а не -А - тогда все получится ;)