URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4479
[ Назад ]

Исходное сообщение
"Какие порты должны быть обязательно открыты?"

Отправлено Rayon , 16-Янв-10 13:22 
Доброго времени суток, товарищи, есть несколько вопросов по поводу безопасности сервера.
Вобщем есть сервер с виртуальным хостингом на борту c панелью ISPmanager и необходимо закрыть все ненужные порты, а точнее оставить доступными извне только нужные.
Имеем,
вывод # netstat -nl

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 127.0.0.1:60000         0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:993             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:995             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:777             0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN
tcp        0      0 54.134.164.238:53       0.0.0.0:*               LISTEN
tcp        0      0 54.134.164.237:53       0.0.0.0:*               LISTEN
tcp        0      0 54.134.164.59:53        0.0.0.0:*               LISTEN
tcp        0      0 54.134.165.45:53        0.0.0.0:*               LISTEN
tcp        0      0 54.134.164.31:53        0.0.0.0:*               LISTEN
tcp        0      0 54.134.164.36:53        0.0.0.0:*               LISTEN
tcp        0      0 54.134.165.44:53        0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN
tcp        0      0 54.134.164.59:25        0.0.0.0:*               LISTEN
tcp        0      0 54.134.165.45:25        0.0.0.0:*               LISTEN
tcp        0      0 54.134.164.36:25        0.0.0.0:*               LISTEN
tcp        0      0 54.134.165.44:25        0.0.0.0:*               LISTEN
tcp        0      0 54.134.164.31:25        0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN
tcp6       0      0 :::7777                 :::*                    LISTEN
tcp6       0      0 :::9090                 :::*                    LISTEN
tcp6       0      0 :::9091                 :::*                    LISTEN
tcp6       0      0 :::5222                 :::*                    LISTEN
tcp6       0      0 :::5223                 :::*                    LISTEN
tcp6       0      0 :::777                  :::*                    LISTEN
tcp6       0      0 :::12                   :::*                    LISTEN
tcp6       0      0 :::5229                 :::*                    LISTEN
tcp6       0      0 :::8080                 :::*                    LISTEN
tcp6       0      0 :::7443                 :::*                    LISTEN
tcp6       0      0 :::5269                 :::*                    LISTEN
tcp6       0      0 :::53                   :::*                    LISTEN
tcp6       0      0 ::1:953                 :::*                    LISTEN
tcp6       0      0 :::443                  :::*                    LISTEN
tcp6       0      0 :::7070                 :::*                    LISTEN
udp        0      0 0.0.0.0:42256           0.0.0.0:*
udp        0      0 0.0.0.0:161             0.0.0.0:*
udp        0      0 54.134.164.238:53       0.0.0.0:*
udp        0      0 54.134.164.237:53       0.0.0.0:*
udp        0      0 54.134.164.59:53        0.0.0.0:*
udp        0      0 54.134.165.45:53        0.0.0.0:*
udp        0      0 54.134.164.31:53        0.0.0.0:*
udp        0      0 54.134.164.36:53        0.0.0.0:*
udp        0      0 54.134.165.44:53        0.0.0.0:*
udp        0      0 127.0.0.1:53            0.0.0.0:*
udp        0      0 0.0.0.0:5353            0.0.0.0:*
udp6       0      0 :::53                   :::*
udp6       0      0 :::5353                 :::*
udp6       0      0 :::37233                :::*
Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node   Path
unix  2      [ ACC ]     STREAM     LISTENING     5916     /var/run/avahi-daemon                                                                             /socket
unix  2      [ ACC ]     STREAM     LISTENING     5882     /var/run/dbus/system_                                                                             bus_socket
unix  2      [ ACC ]     STREAM     LISTENING     5862     /var/run/acpid.socket
unix  2      [ ACC ]     STREAM     LISTENING     97543    /tmp/ispmgr.sock
unix  2      [ ACC ]     STREAM     LISTENING     97545    /tmp/ispmgr.adm.sock
unix  2      [ ACC ]     STREAM     LISTENING     6309     /var/run/dovecot/auth                                                                             -worker.2514
unix  2      [ ACC ]     STREAM     LISTENING     6302     /var/run/dovecot/dict                                                                             -server
unix  2      [ ACC ]     STREAM     LISTENING     6632     /var/run/mysqld/mysql                                                                             d.sock
unix  2      [ ACC ]     STREAM     LISTENING     6304     /var/run/dovecot/logi                                                                             n/default

54.134* - это внешние ip адреса сервера.

И имеем правила:
iptables -A INPUT -p tcp -m multiport --dports 80,443,993,995,110,143,53,19991,25,777 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 7777,9090,9091,5222,12,5229,7443,5269,7070 -j ACCEPT
iptables -A INPUT -s 54.134.0.1/16 -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -j ACCEPT

Вроде бы все необходимые порты открыты, (хотя для чего половина этих портов я  понятия не имею, но все же открыл их)
Но сайты сразу перестают работать, если прописать следующие 2 правила ниже:
iptables -A INPUT -p tcp -j DROP
iptables -A INPUT -j DROP


Вопрос, какие порты должны быть обязательно открыты, чтобы хотя бы сайты нормально работали по http и https? Вроде бы все что можно открыл уже но с двумя последними правилами ничего не работает, к сожалению.

Также хочу спросить для какой цели слушаются следующие порты и что они значат:
tcp        0      0 127.0.0.1:60000         0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:993             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:995             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN
tcp6       0      0 :::7443                 :::*                    LISTEN
tcp6       0      0 ::1:953                 :::*                    LISTEN
udp        0      0 0.0.0.0:42256           0.0.0.0:*
udp        0      0 0.0.0.0:161             0.0.0.0:*
udp6       0      0 :::53                   :::*
udp6       0      0 :::5353                 :::*
udp6       0      0 :::37233                :::*

Также интересно почему одни и те же порты слушаются по tcp и tcp6?
И как работать с этим -  :::* в iptables?

Заранее спасибо всем кто попробует помочь решить эти вопросы.


Содержание

Сообщения в этом обсуждении
"Какие порты должны быть обязательно открыты?"
Отправлено Redduck , 18-Янв-10 14:53 
Необходимо открыть как можно больше портов!
Желательно все до каких дотянуться руки!
А то многие закрывают все порты и открывают только необходимые, это им кажется что они открыли все необходимые порты, а добрым людям явно не хватает!

"Какие порты должны быть обязательно открыты?"
Отправлено tux2002 , 18-Янв-10 16:05 
Нехило
> (хотя для чего половина этих портов
>я  понятия не имею, но все же открыл их)

netstat -lutpn    

p-даёт имена процессов, слушающих порт


"Какие порты должны быть обязательно открыты?"
Отправлено tux2002 , 18-Янв-10 16:10 
ip в следубщий раз сурывай, кому-нибудь станет интересно.