PDA

Visualizza la versione completa : disabilitare le porte...


morpheus106
22-09-2004, 17:19
In che modo posso configurare il firewall per far si che solo alcuni pc abbiano le porte 3401 3606 3352 3610 1299 CHIUSE?

Pang1982
22-09-2004, 17:22
Originariamente inviato da morpheus106
In che modo posso configurare il firewall per far si che solo alcuni pc abbiano le porte 3401 3606 3352 3610 1299 CHIUSE?

usa netfilter

:ciauz:

morpheus106
22-09-2004, 18:22
e non posso mettere delle regole nel file di configurazione del firewall?

Ikitt
22-09-2004, 18:27
Originariamente inviato da morpheus106
In che modo posso configurare il firewall per far si che solo alcuni pc abbiano le porte 3401 3606 3352 3610 1299 CHIUSE?

Se desideri che alcuni (tra tanti) PC abbiano queste porte chiuse per tutti, la cosa migliore e` fermare i servizi che girano dietro quelle porte.

morpheus106
22-09-2004, 19:03
sono principalmente porte utilizzate da file sharing...

se mi potreste aiutare... :dhò:

caso mai posto il file di configurazione del firewall che mi crea in automatico dalla configurazione grafica

morpheus106
22-09-2004, 19:06
eccolo:

#Set inet-in rules
echo "Setting rules for internet device incoming chain:"
echo -n " Setup port blocking on vulnerable ports..."
#Block NFS
$IPCHAINS -A inet-in -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 2049 -j DENY -l
$IPCHAINS -A inet-in -p udp -s 0.0.0.0/0 -d 0.0.0.0/0 2049 -j DENY -l
#Block X11
$IPCHAINS -A inet-in -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 5999:6003 -j DENY -l
$IPCHAINS -A inet-in -p udp -s 0.0.0.0/0 -d 0.0.0.0/0 5999:6003 -j DENY -l
#Block XFS
$IPCHAINS -A inet-in -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 7100 -j DENY -l
$IPCHAINS -A inet-in -p udp -s 0.0.0.0/0 -d 0.0.0.0/0 7100 -j DENY -l
#Block xfstt
$IPCHAINS -A inet-in -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 7101 -j DENY -l
$IPCHAINS -A inet-in -p udp -s 0.0.0.0/0 -d 0.0.0.0/0 7101 -j DENY -l
#Block Back Orifice
$IPCHAINS -A inet-in -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 31337 -j DENY -l
$IPCHAINS -A inet-in -p udp -s 0.0.0.0/0 -d 0.0.0.0/0 31337 -j DENY -l
#Block netbus
$IPCHAINS -A inet-in -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 12345:12346 -j DENY -l
$IPCHAINS -A inet-in -p udp -s 0.0.0.0/0 -d 0.0.0.0/0 12345:12346 -j DENY -l

if [ "$cmbSecurity" = "Totale" -o "$cmbSecurity" = "WebServer" ]; then
#Block acuserve (6523)
$IPCHAINS -A inet-in -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 6523 -j DENY -l
$IPCHAINS -A inet-in -p udp -s 0.0.0.0/0 -d 0.0.0.0/0 6523 -j DENY -l
#Block acrlc (5632)
$IPCHAINS -A inet-in -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 5632 -j DENY -l
$IPCHAINS -A inet-in -p udp -s 0.0.0.0/0 -d 0.0.0.0/0 5632 -j DENY -l
#Block sftpd (3006)
$IPCHAINS -A inet-in -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 3006 -j DENY -l
fi

echo " Done!"

echo -n "Allowing services..."
if [ "$cmbSecurity" != "Totale" ]; then
# servizio posta
$IPCHAINS -A inet-in -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 smtp -j ACCEPT
# servizio www
$IPCHAINS -A inet-in -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 www -j ACCEPT
# Abilito icmp / ping
$IPCHAINS -A inet-in -p icmp -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
fi

if [ "$cmbSecurity" = "Medio" -o "$cmbSecurity" = "Basso" ]; then
# servizio ftp
$IPCHAINS -A inet-in -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 ftp -j ACCEPT
$IPCHAINS -A inet-in -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 ftp-data -j ACCEPT
# servizio dns
$IPCHAINS -A inet-in -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 domain -j ACCEPT
$IPCHAINS -A inet-in -p udp -s 0.0.0.0/0 -d 0.0.0.0/0 domain -j ACCEPT
# servizio ssh
$IPCHAINS -A inet-in -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 ssh -j ACCEPT
$IPCHAINS -A inet-in -p tcp -s 0.0.0.0/0 ssh -d 0.0.0.0/0 -j ACCEPT
# servizio auth
$IPCHAINS -A inet-in -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 auth -j ACCEPT
# servizio acrlc
$IPCHAINS -A inet-in -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 5632 -j ACCEPT
$IPCHAINS -A inet-in -p tcp -s 0.0.0.0/0 5632 -d 0.0.0.0/0 -j ACCEPT
# servizio acuserve
$IPCHAINS -A inet-in -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 6523 -j ACCEPT
$IPCHAINS -A inet-in -p tcp -s 0.0.0.0/0 6523 -d 0.0.0.0/0 -j ACCEPT
fi

if [ "$cmbSecurity" = "Basso" ]; then
# servizio pop3
$IPCHAINS -A inet-in -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 pop3 -j ACCEPT
# servizio imap
$IPCHAINS -A inet-in -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 imap2 -j ACCEPT
fi

# Abilito unpriv ports
$IPCHAINS -A inet-in -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 1023:65535 -j ACCEPT
$IPCHAINS -A inet-in -p udp -s 0.0.0.0/0 -d 0.0.0.0/0 1023:65535 -j ACCEPT

echo " Done!"

echo -n " Setting default input to DENY..."
$IPCHAINS -A inet-in -s 0.0.0.0/0 -d 0.0.0.0/0 -j DENY -l
echo " Done!"

#Set inet-out rules
echo "Setting rules for internet device outgoing chain:"
echo -n " Setting TOS flags for www, telnet, ssh, and ftp..."
$IPCHAINS -A inet-out -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 www -t 0x01 0x10
$IPCHAINS -A inet-out -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 telnet -t 0x01 0x10
$IPCHAINS -A inet-out -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 ssh -t 0x01 0x10
$IPCHAINS -A inet-out -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 ftp -t 0x01 0x10
$IPCHAINS -A inet-out -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 ftp-data -t 0x01 0x08
echo " Done!"
}

adarkar
22-09-2004, 19:09
Originariamente inviato da morpheus106

se mi potReste aiutare... :dhò:


:oVVoVe: :oVVoVe:

comunque se devi solo chiudere quelle connessioni ti basta aggiungere un -j DROP.. :bhò:

morpheus106
22-09-2004, 19:34
del tipo:

$IPCHAINS -A inet-in -p tcp -s 192.168.10.2/0 -d 3401 -j DENY -l
$IPCHAINS -A inet-in -p udp -s 192.168.10.2/0 -d 3401 -j DENY -l
così?

adarkar
22-09-2004, 19:38
io nella mia niubbità farei

iptables -A INPUT -t tcp --destination-port PORTA -j DROP

se è una cosa troppo niubba correggetemi..

adarkar
22-09-2004, 19:39
Originariamente inviato da morpheus106
del tipo:

$IPCHAINS -A inet-in -p tcp -s 192.168.10.2/0 -d 3401 -j DENY -l
$IPCHAINS -A inet-in -p udp -s 192.168.10.2/0 -d 3401 -j DENY -l
così?

e poi comunque la 192.168.10.2/0 non l'ho capita.. :zizi:
o metti 192.168.0.0/16 o 0.0.0.0/0 :D

Loading