linux-l: Offene Ports

Jan-Benedict Glaw jbglaw at lug-owl.de
So Sep 3 19:41:37 CEST 2000


On Sun, Sep 03, 2000 at 03:26:00PM +0200, Rolf Buenning wrote:
> Hallo Alle,

[Port smtp]

> > ...Du willst nicht, daß jemand von außen bei Dir Mails abliefert...
> 
> Nee, nicht wirklich.

ipchains -A input -i ppp0 -p tcp -d 0/0 smtp -j REJECT

> > > > > > 37   time
> > Du willst nicht, daß man Dir die Netzt tötet.
> 
> Auch nicht.

Einen dedizierten Server wirst Du dafür nicht am Laufen haben,
das wird Dein inetd con selbst machen. Einfach dafür sorgen,
daß keine Zeilen mit "time" oder "13" oder "37" vorhnden sind.

Ansonsten kann man das natürlich auch mir ipchains biegen:

ipchains -A input -i ppp0 -p tcp -d 0/0 time -j REJECT
ipchains -A input -i ppp0 -p udp -d 0/0 time -j REJECT

> > > > > > 113  auth -> wird wohl fuer logon gebraucht?
> > Ist ein SIcherheitsrisiko. Dichtmachen!
> 
> Aha.

...in Deiner /etc/inetd.conf ist, wenn denn noch vorhanden, eine
Zeile mit "auth" oder "ident" am Anfang. Einfach auskommentieren.
...oder eben auch ipchains benutzen. Das sollte mit Beispielen
oben ja jetzt nicht mehr so das Problem sein;)

> > > > > > 119  nntp -> leafnode, muss wohl auch?
> > ...wenn jemand bei Dir alle newsgroups abonniert, dann hört Deine
> > Leitung nciht mehr auf, zu qualmen;)
> 
> Ich hoffe nicht;(

Leafnode sollte sich eigentlich ganz gut über tcpd absichern lassen.
Ich halte es für sauberer, keine DENY/REJECT Regeln aufzustellen,
wenn sich das Problem im userspace lösen läßt. Guck einfach mal
nach "nntp" am Anfang. Das ist Dein leafnode. ...und dann such
Dir mal ein paar Zeilen mit einem "tcpd" (weiter hinten am
Zeilenende) und gestalte Deine "nntp"-Zeile genauso.
Dann kannst Du leafnode in Deine /etc/hosts.deny eintragen.

> > > > > > 515  printer -> ??
> > Bei Dir muß von außen keiner Drucken können;)
> 
> Das will ich auch nicht.

Die diversen lpd's sind leider nicht so flexibel in ihrer
Konfiguration. Entweder auch über den inetd starten lassen
(zusemmen mit dem tcpd, um das Ding abzusichern), oder
mit ipchains dichtmachen...

> Tja, dann weiss ich jetzt nicht weiter(ausser ipchains vielleicht).
> Meine Massnahmen blieben ohne Erfolg.
> Ausser nntp ist in /etc/inetd.conf nichts offen.
> -------------
> rolf at Sirius:~ > egrep "^(([a-z])|([A-Z]))" /etc/inetd.conf
> nntp    stream  tcp     nowait  news    /usr/sbin/tcpd
> /usr/sbin/leafnode
> --------------
> 
> In /etc/hosts.allow steht nichts.

In der /etc/hosts.deny sollte
	ALL:ALL
oder
	ALL:PARANOID
stehen.

> /etc/hosts.deny sieht so aus ...
> -------------------
> root at Sirius:/etc > cat hosts.deny
> # See tcpd(8) and hosts_access(5) for a description.
> #ypserv: ALL
> http-rman : ALL   #  EXCEPT LOCAL - von mir auskommentiert
> leafnode  : ALL EXCEPT LOCAL
> -------------------

Das ist bei Dir genau falschherum;)

/etc/hosts.deny:
	ALL:ALL
/stc/hosts.allow:
	leafnose: 127.0.0.1/255.0.0.0,192.168.0.0/255.255.0.0

> Eine Frage noch, was ist mit Ports > 1024 bis 64k?
> Der Check hat nicht geklappt, Connect's starben ab (T-Online :(( .

Versuch's mal mit
	netstat -A inet -a -n
Das zeigt Dir alle geöffneten UDP- und TCP-Ports an.o

MfG, JBG

-- 
Fehler eingestehen, Größe zeigen: Nehmt die Rechtschreibreform zurück!!!
/* Jan-Benedict Glaw <jbglaw at lug-owl.de> -- +49-177-5601720 */
keyID=0x8399E1BB fingerprint=250D 3BCF 7127 0D8C A444 A961 1DBD 5E75 8399 E1BB
     "insmod vi.o and there we go..." (Alexander Viro on linux-kernel)
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 240 bytes
Beschreibung: nicht verfügbar
URL         : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20000903/c9e25030/attachment.sig>


Mehr Informationen über die Mailingliste linux-l