[Comm] Re: iptables, port 0 и Stealth (blocked ports, REJECT)

Вс Мар 27 20:35:31 MSD 2005

>> 1. Что за порт 0 и как его закрывать?
> netstat -vatwun ?

Вы имели в виду сделать вывод команды?

[root на vova etc]# netstat -vatwun
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign  
Address             State
tcp        0      0 0.0.0.0:37                   
0.0.0.0:*                   LISTEN
tcp        0      0 0.0.0.0:4239                 
0.0.0.0:*                   LISTEN
tcp        0      0 0.0.0.0:111                  
0.0.0.0:*                   LISTEN
tcp        0      0 10.0.0.1:53                  
0.0.0.0:*                   LISTEN
tcp        0      0 127.0.0.1:53                 
0.0.0.0:*                   LISTEN
tcp        0      0 0.0.0.0:22                   
0.0.0.0:*                   LISTEN
tcp        0      0 0.0.0.0:2583                 
0.0.0.0:*                   LISTEN
tcp        0      0 127.0.0.1:953                
0.0.0.0:*                   LISTEN
tcp        0      0 0.0.0.0:13756                
0.0.0.0:*                   LISTEN
tcp        0      0 10.0.0.1:2766                
128.180.196.141:4233        ESTABLISHED
tcp        0      0 10.0.0.1:2811                
66.90.102.128:80            ESTABLISHED
tcp        0      0 10.0.0.1:3139                
81.211.64.80:143            ESTABLISHED
tcp        0      0 10.0.0.1:5489                
205.188.8.8:5190            ESTABLISHED
udp        0      0 0.0.0.0:1024                0.0.0.0:*
udp        0      0 0.0.0.0:1414                0.0.0.0:*
udp        0      0 0.0.0.0:4239                0.0.0.0:*
udp        0      0 0.0.0.0:2583                0.0.0.0:*
udp        0      0 10.0.0.1:53                 0.0.0.0:*
udp        0      0 127.0.0.1:53                0.0.0.0:*
udp        0      0 0.0.0.0:1369                0.0.0.0:*
udp        0      0 0.0.0.0:111                 0.0.0.0:*
udp        0      0 10.0.0.1:123                0.0.0.0:*
udp        0      0 127.0.0.1:123               0.0.0.0:*
udp        0      0 0.0.0.0:123                 0.0.0.0:*
raw        0      0 0.0.0.0:1                   0.0.0.0:*

>> 2. Нужно ли добиваться, чтобы по таким онлайн-тестам все порты от 0 до
>> 1055 были бы BLOCKED (Stealth) (в случае теста Shields UP все порты на
>> диаграмме в зеленом цвете)?
> не факт, например, если нужен доступ извне к какой-нибудь службе, то  
> зачем
> ее закрывать.

Например? SSH ? Если бы у меня дома был бы статич. IP, то я прописал бы  
правило на шлюз для моего входе извне.. а так как у меня динамич. адрес,  
то я не знаю, стоит ли оставлять открытым SSH.

По ходу использования такой простой настройки iptables (точнее таблицы  
filter) выявил следующее - невозможен доступ к личным кабинетам некоторых  
интернет-сервисов, например к личному кабинету на сайте провайдера, вход в  
GMail через вэб-интерфейс - я так понимаю. что посылается некий сертификат  
"доверия" сервера, который является NEW по типу пакета. Как с этим быть?

>> 3. Насколько жизнеспособна (недырява) таблица filter в моем исполнении  
>> для
>> простейшего шлюза с одной задачей - доступ в интернет для локальной  
>> сети.
> Лучше поставьте firehol и не мучайтесь.

Firehol ? Не слыхал о таком.. Посмотрю, но если это графич. "приблуда"  
типа guarddog или Firewall Builder, то они меня только путают.. Еле-еле  
начинаю понимать суть вещей..

-- 
С уважением, Владимир Гусев