=?iso-8859-1?q?=5Bmdk-re=5D_=E2=C5=DA=CF=D0=C1=D3=CE=CF=D3=D4=D8?=

Roman S =?iso-8859-1?q?rromas_=CE=C1_mailru=2Ecom?=
Чт Янв 4 16:26:00 MSK 2001


Цитирую Michael Bykov <mediacom на capital.ru>:

> Господа,
> 
> подскажите, пожалуйста, как закрыть эти порты, и что 
такое iad 1,2,3? И
> зачем
> они открыты по-умолчанию? Опасно ли это?
А хрен, его знает, кто такие эти IAD-ы.
Запусти netstat с указанием процесса, который их 
держит.

> 111/tcp    open        sunrpc
Должно быть ещё и по UDP, обычно нафиг не нужно.
> 113/tcp    open        auth
identd лучше вообще выключить, если он явно не нужен.
> 515/tcp    open        printer
Если не надо раздавать принтер всем :)
> 617/tcp    open        unknown
Посмотрите, кто держит порт
> 1024/tcp   open        kdm
> 1025/tcp   open        listen
> 1026/tcp   open        nterm
> 1030/tcp   open        iad1
> 1031/tcp   open        iad2
> 1032/tcp   open        iad3
> 3306/tcp   open        mysql

В общем, как поступаю я:
По непонятным причинам (или я дурак) в Mandrake нет 
скрипта, инициирующего правила ipchains по умолчанию.
Есть конечно linuxconf, но как-то гаденько там всё, к 
тому же linuxconf активируется после поднятия сетевого 
интерфейса - а это дыра.

1) Выдираем скрипт инициализации правил из документации
2) Помещаем его в /etc/rc.d/init.d
3) делаем сим. ссылки SNN<скрипт> на этот скрипт в 
каталогах с нужными runlevel, NN должен быть меньше, 
чем у network.
4) Внимательно читаем документацию по ручной настройке 
и тут же её забываем нафиг, ибо оно неудобно и 
ненаглядно.
5) запускаем gfcc (Gnome Firewall Control Center) если 
нет - ставим его (с 3-го диска или со свежего мяса)
6) Определяем в gfcc, что есть localhost.
7) В нашем случае критичны закладки input и output - 
соотв. для входящего и исходящего трафика.
Делаем такого вида:
input:
from (!localhost) ports (0-65535) to localhost (порты, 
которые прикрываем) протокол (tcp|udp) действие REJECT
output:
from (localhost) ports (какой-не-надо) to !
localhost ... REJECT

Сформируем таким образом правила блокировок (какие они 
должны быть - песня отдельная, достаточно нудная и 
индивидуальная)
Шмякаем пимпочку apply to system.
Проверяем результат.
Если понравилось - выполняем ipchains-save 
>/etc/ipchains.rules.
При загрузке его подхватит скрипт инициализации 
брандмауэра.

Ну, естественно, внесите поправку на то, что 
закрываете - это может быть не localhost, а ваша 
сетка...

Roman Savelyev




Подробная информация о списке рассылки community