URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 823
[ Назад ]
Исходное сообщение
"Помогите по iptables.. внутрях"
Отправлено Anton , 20-Авг-03 10:59 
Всем привет!

постигла меня жестокая участь.. участь в том что мой router таки сломали извне.. произошло это, как я понимаю не без участия samba
взлом обнаружился по увеличевшимуся трафику с этой машины.. и по ругательному письму от прова, что с 137 и 139 порта идут левые запросы во внешний мир.. сейчас вопрос, как я понимаю, стоит в том что бы закрыть как можно скорее порты 137-139.. закрыть на обоих интерфейсах.. у меня получилось вот такое вот правило.. оно правильное?

iptables -t filter -A FORWARD -p tcp --dport 137:139 -s 10.1.1.0/24 -i eth+ -j REJECT

и еще.. если кто может то проконсультируйте.. и еще вопрос - если ставить -p ALL а не -p tcp то правило не работает.. почему?

Содержание
Сообщения в этом обсуждении
"Помогите по iptables.. внутрях"
Отправлено J , 20-Авг-03 11:38 
>Всем привет!
>
>постигла меня жестокая участь.. участь в том что мой router таки сломали
>извне.. произошло это, как я понимаю не без участия samba
>взлом обнаружился по увеличевшимуся трафику с этой машины.. и по ругательному письму
>от прова, что с 137 и 139 порта идут левые запросы
>во внешний мир.. сейчас вопрос, как я понимаю, стоит в том
>что бы закрыть как можно скорее порты 137-139.. закрыть на обоих
>интерфейсах.. у меня получилось вот такое вот правило.. оно правильное?
>
>iptables -t filter -A FORWARD -p tcp --dport 137:139 -s 10.1.1.0/24 -i
>eth+ -j REJECT
>
>и еще.. если кто может то проконсультируйте.. и еще вопрос - если
>ставить -p ALL а не -p tcp то правило не работает..
>почему?

потому что вы определяете порты, а они имеют смысл только в контексте tcp и udp
кстати, udp эти порты тоже надо закрыть

и лучше это правило ставить не в FORWARD, а на внешнем интерфейсе на вход и на выход для -s 0/0 и -d 0/0

"Помогите по iptables.. внутрях"
Отправлено Anton , 20-Авг-03 12:45 
>>Всем привет!
>>
>>постигла меня жестокая участь.. участь в том что мой router таки сломали
>>извне.. произошло это, как я понимаю не без участия samba
>>взлом обнаружился по увеличевшимуся трафику с этой машины.. и по ругательному письму
>>от прова, что с 137 и 139 порта идут левые запросы
>>во внешний мир.. сейчас вопрос, как я понимаю, стоит в том
>>что бы закрыть как можно скорее порты 137-139.. закрыть на обоих
>>интерфейсах.. у меня получилось вот такое вот правило.. оно правильное?
>>
>>iptables -t filter -A FORWARD -p tcp --dport 137:139 -s 10.1.1.0/24 -i
>>eth+ -j REJECT
>>
>>и еще.. если кто может то проконсультируйте.. и еще вопрос - если
>>ставить -p ALL а не -p tcp то правило не работает..
>>почему?
>
>потому что вы определяете порты, а они имеют смысл только в контексте
>tcp и udp
>кстати, udp эти порты тоже надо закрыть
>
>и лучше это правило ставить не в FORWARD, а на внешнем интерфейсе
>на вход и на выход для -s 0/0 и -d 0/0
>


т.е. мне надо написать такую же цепочку с -p udp?

Спасибо
Антон

"Помогите по iptables.. внутрях"
Отправлено avl , 23-Сен-03 18:45 
>Всем привет!
>
>постигла меня жестокая участь.. участь в том что мой router таки сломали
>извне.. произошло это, как я понимаю не без участия samba
>взлом обнаружился по увеличевшимуся трафику с этой машины.. и по ругательному письму
>от прова, что с 137 и 139 порта идут левые запросы
>во внешний мир.. сейчас вопрос, как я понимаю, стоит в том
>что бы закрыть как можно скорее порты 137-139.. закрыть на обоих
>интерфейсах.. у меня получилось вот такое вот правило.. оно правильное?
>
>iptables -t filter -A FORWARD -p tcp --dport 137:139 -s 10.1.1.0/24 -i
>eth+ -j REJECT
>
>и еще.. если кто может то проконсультируйте.. и еще вопрос - если
>ставить -p ALL а не -p tcp то правило не работает..
>почему?

если пров грит, что траффик идет с порта, то лучше закрыть так:
iptables -A FORWARD -p tcp --sport 137:139 -o ethx -j DROP
iptables -A FORWARD -p udp --sport 137:139 -o ethx -j DROP
где ethx - интерфейс на провайдера