=?iso-8859-1?q?=5Bmdk-re=5D_=E2=C5=DA=CF=D0=C1=D3=CE=CF=D3=D4=D8?=
Roman S
=?iso-8859-1?q?rromas_=CE=C1_mailru=2Ecom?=
Чт Янв 4 16:26:00 MSK 2001
Цитирую Michael Bykov <mediacom на capital.ru>:
> Господа,
>
> подскажите, пожалуйста, как закрыть эти порты, и что
такое iad 1,2,3? И
> зачем
> они открыты по-умолчанию? Опасно ли это?
А хрен, его знает, кто такие эти IAD-ы.
Запусти netstat с указанием процесса, который их
держит.
> 111/tcp open sunrpc
Должно быть ещё и по UDP, обычно нафиг не нужно.
> 113/tcp open auth
identd лучше вообще выключить, если он явно не нужен.
> 515/tcp open printer
Если не надо раздавать принтер всем :)
> 617/tcp open unknown
Посмотрите, кто держит порт
> 1024/tcp open kdm
> 1025/tcp open listen
> 1026/tcp open nterm
> 1030/tcp open iad1
> 1031/tcp open iad2
> 1032/tcp open iad3
> 3306/tcp open mysql
В общем, как поступаю я:
По непонятным причинам (или я дурак) в Mandrake нет
скрипта, инициирующего правила ipchains по умолчанию.
Есть конечно linuxconf, но как-то гаденько там всё, к
тому же linuxconf активируется после поднятия сетевого
интерфейса - а это дыра.
1) Выдираем скрипт инициализации правил из документации
2) Помещаем его в /etc/rc.d/init.d
3) делаем сим. ссылки SNN<скрипт> на этот скрипт в
каталогах с нужными runlevel, NN должен быть меньше,
чем у network.
4) Внимательно читаем документацию по ручной настройке
и тут же её забываем нафиг, ибо оно неудобно и
ненаглядно.
5) запускаем gfcc (Gnome Firewall Control Center) если
нет - ставим его (с 3-го диска или со свежего мяса)
6) Определяем в gfcc, что есть localhost.
7) В нашем случае критичны закладки input и output -
соотв. для входящего и исходящего трафика.
Делаем такого вида:
input:
from (!localhost) ports (0-65535) to localhost (порты,
которые прикрываем) протокол (tcp|udp) действие REJECT
output:
from (localhost) ports (какой-не-надо) to !
localhost ... REJECT
Сформируем таким образом правила блокировок (какие они
должны быть - песня отдельная, достаточно нудная и
индивидуальная)
Шмякаем пимпочку apply to system.
Проверяем результат.
Если понравилось - выполняем ipchains-save
>/etc/ipchains.rules.
При загрузке его подхватит скрипт инициализации
брандмауэра.
Ну, естественно, внесите поправку на то, что
закрываете - это может быть не localhost, а ваша
сетка...
Roman Savelyev
Подробная информация о списке рассылки community