Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2019-06-05 16:20:16

  buster - Użytkownik

buster
Użytkownik
Zarejestrowany: 2019-06-03

Jak wyłączyć całkowicie dany port?

Jak wyłączyć całkowicie port? Dodałem takie reguły do firewall ufw(dany_port to tylko przykład):

Kod:

ufw deny dany_port
ufw deny dany_port/tcp
ufw deny dany_port/udp

Kod:

sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
dany_port                       DENY IN     Anywhere                  
dany_port/tcp                   DENY IN     Anywhere                  
dany_port/udp                   DENY IN     Anywhere                  
dany_port (v6)                  DENY IN     Anywhere (v6)             
dany_port/tcp (v6)              DENY IN     Anywhere (v6)             
dany_port/udp (v6)              DENY IN     Anywhere (v6)

Jednak polecenie

netstat -tapen
ip/dany_port  ESTABLISHED

Pokazuje mi nadal połączenie na tym porcie i próbujący się połączyć z moim komputerem dany adres ip, więc wychodzi na to, że tylko zablokowałem ten port, ale go nie wyłączyłem? Chciałbym osiągnąć taki rezultat, aby netstat -tapen już mi go nie pokazywał, czyli muszę całkowicie zamknąć, wyłączyć ten port.

Ostatnio edytowany przez buster (2019-06-05 16:22:45)

Offline

 

#2  2019-06-05 16:53:40

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Jak wyłączyć całkowicie dany port?

UFW to nie jest firewall tylko nakładka na narzędzie iptables.

UFW koszmarnie utrudnia korzystanie z firewalla.

I napisz, czy ten port chcesz zablokować na połączenia wychodzące do internetu, czy przychodzące nowe połączenia z internetu (które chyba masz w tej chwili zablokowane).
I oczywiście, czy ten dany_port to jest port źródłowy czy docelowy połączenia.

Na razie to Twoje pytanie ma niewiele sensu.

Ostatnio edytowany przez Jacekalex (2019-06-05 16:55:15)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2019-06-05 17:10:30

  buster - Użytkownik

buster
Użytkownik
Zarejestrowany: 2019-06-03

Re: Jak wyłączyć całkowicie dany port?

Tak czytałem o tym, że UFW zaśmieca reguły iptables -L, ale na desktopie powinien mi wystarczyć. Chce zablokować ten port na połączenia przychodzące i wychodzące, ponieważ on się łączy z moją przeglądarką. Port źródłowy – określa port aplikacji, z której wysłano dane. Port docelowy – określa port aplikacji, do której wysłano dane. Czyli jeżeli połączy się z moją przeglądarką, działa jednocześnie jako port źródłowy i docelowy?

Offline

 

#4  2019-06-05 17:37:43

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Jak wyłączyć całkowicie dany port?

Port komunikacji nigdy z niczym się sam nie łączy.
To programy używają tych wirtualnych portów do komunikacji sieciowej.

Porty to witrualny mechanizm, pozwalający na to, żeby wielu użytkowników lub wiele programów mogło korzystać równocześnie z jednego połączenia sieciowego.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2019-06-05 18:00:30

  buster - Użytkownik

buster
Użytkownik
Zarejestrowany: 2019-06-03

Re: Jak wyłączyć całkowicie dany port?

A możesz polecić jakąś konfigurację lub poradnik do ustawienia iptables na laptopie? Ustawił bym input, forward, output na drop, a co mi jest potrzebne zezwoliłbym. Nie jest tego dużo jakieś porty do przeglądarek 80, 443, do menadżera pakietów, do PyCharm, Intellij, abym można było aktualizować te ide. Korzystam tylko z wifi i networkmanager. Usunąłbym ufw z systemu i wyczyścił konfigurację iptables -F ustawiając wszystko na nowo.
Taki przykładowy zestaw na desktop, ale wydaje mi się, że dużo wpisów z tego opisu jest mi niepotrzebne na laptopie, co mogę usunąć?

Kod:

iptables -F
iptables -X

# te wpisy pominąłem raczej nie są mi potrzebne gdy korzystam z wifi i networkmanager?
# iptables -t nat -F
# iptables -t nat -X
# iptables -t mangle -F
# iptables -t mangle -X
iptables -P INPUT DROP 
iptables -P FORWARD DROP 
iptables -P OUTPUT ACCEPT 

#Blokuję nieprawidłowe pakiety 
iptables -A INPUT -p tcp -j DROP -m state --state INVALID 

#Dopuszczam ruch przychodzący 
iptables -A INPUT -p tcp --dport 80 -m limit --limit 5/s -j ACCEPT 
iptables -A INPUT -p tcp --dport 20 -m limit --limit 5/s -j ACCEPT 
iptables -A INPUT -p tcp --dport 21 -m limit --limit 5/s -j ACCEPT 
iptables -A INPUT -p udp --dport 20 -m limit --limit 5/s -j ACCEPT 
iptables -A INPUT -p udp --dport 21 -m limit --limit 5/s -j ACCEPT 


iptables -A INPUT -p tcp --dport 5001 -j ACCEPT 
iptables -A INPUT -p tcp --dport 5522 -m limit --limit 5/s -j ACCEPT 
iptables -A INPUT -p tcp --dport 50024 -j ACCEPT 
iptables -A INPUT -p udp --dport 50034 -j ACCEPT 
iptables -A INPUT -p tcp --dport 50040 -j ACCEPT 
iptables -A INPUT -p udp --dport 50041 -j ACCEPT 


#Dopuszczam ruch na DNSach 
iptables -A OUTPUT -p udp -o eth0 --dport 53 --sport 1024:65535 -j ACCEPT 
iptables -A INPUT -p udp -i eth0 --sport 53 --dport 1024:65535 -j ACCEPT 

#Dopuszczam powrót pinga 
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT 
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT 

#Dopuszczam do ruchu połączniua już nawiązane i powiązane 
iptables -A INPUT -m state --state RELATED -j ACCEPT 
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT 
iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT 

#Dopuszczam ruch na interfejsie lokalnym 
iptables -A INPUT -s 127.0.0.1 -j ACCEPT 
iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT

Ostatnio edytowany przez buster (2019-06-05 21:06:06)

Offline

 

#6  2019-06-05 19:41:46

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Jak wyłączyć całkowicie dany port?

Na Dekstopa/Laptopa?

Kod:

iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Tu masz wyjaśnienie:
https://pl.wikibooks.org/wiki/Sieci_w_Linuksie/Netf … rzyk%C5%82ady

Na desktopie niczego nie powinieneś wpuszczać do kompa, tylko pozwolić na połączenia nawiązane i kontynuowane, które zostały rozpoczęte z wnętrza systemu operacyjnego.

Ja obecnie się przeniosłem na NFtables na moim PieCU, i mam coś takiego:

Kod:

table inet filter {
    set systemdns {
        type ipv4_addr
        elements = { 8.8.4.4, 8.8.8.8,
                 208.67.220.220, 208.67.222.222 }
    }

    set systemdns6 {
        type ipv6_addr
        elements = { 2001:4860:4860::8844,
                 2001:4860:4860::8888,
                 2620:0:ccc::2,
                 2620:0:ccd::2 }
    }

    chain input {
        type filter hook input priority 0; policy drop;
        ct state established,related accept
        iif "lo" accept
        ip6 nexthdr ipv6-icmp counter accept
        ip protocol icmp icmp type { destination-unreachable, router-advertisement, router-solicitation, time-exceeded, parameter-problem } accept
        ip protocol igmp accept
    }

    chain forward {
        type filter hook forward priority 0; policy drop;
    }

    chain output {
        type filter hook output priority 200; policy drop;
        ct state established,related accept
        oifname "lo" accept
        ip daddr @systemdns counter accept
        ip6 daddr @systemdns6 counter accept
        ip protocol icmp counter accept
        ip6 nexthdr ipv6-icmp counter accept
        cgroup 1 counter accept
        cgroup 2 counter accept
        cgroup 3 counter accept
        cgroup 4 counter accept
        cgroup 5 counter accept
        cgroup 6 counter accept
        cgroup 7 counter accept
        cgroup 8 counter accept
        cgroup 9 counter accept
        cgroup 11 counter accept
    }
}

Z tym, że 90% tego FW to filtrowanie OUTPUT, a nie INPUT, min wszystkie reguły cgroup filtrują OUTPUT.

Ostatnio edytowany przez Jacekalex (2019-06-05 19:45:20)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#7  2019-06-05 20:05:43

  buster - Użytkownik

buster
Użytkownik
Zarejestrowany: 2019-06-03

Re: Jak wyłączyć całkowicie dany port?

Na przykład w ufw mam cały ruch przychodzący zablokowany, a odblokowany wychodzący. Otwarte dwa porty do przeglądarek w obie strony. Sądziłem że to polecenie zablokuje mi wychodzący port z przeglądarki.

ufw delete allow dany_port/tcp

Czy ono blokuje ruch wychodzący i przychodzący na danym porcie? Teraz doszedłem do wniosku, że to przeglądarka wysyła ruch na tym porcie, dlatego

ufw default deny incoming

Nie mogło go zablokować i netstat -tapen pokazuje mi cały czas nawiązane połączenie. Dzięki, nakierowałeś mnie na rozwiązanie, to UFW miało bug, dlatego nie blokowało mi tego portu. Na iptables jest wszystko w porządku. Czyli to polecenie

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

nawiązuje tylko połączenia wychodzące z mojej sieci/komputera. Używa modułu conntrack, który pozwala dopasowywać stany połączeń widziane przez mechanizm śledzenia conntrack. Możesz napisać coś więcej na czym to dokładnie polega? Dlaczego używasz nftables, w czym jest lepszy od iptables, jest szybszy, prostszy w konfiguracji? Czytałem że PF od OpenBSD jest też dobrą zaporą. Ale w czym jest dokładnie lepsza nie wiem, może chodzi o prostotę konfiguracji w stylu ufw?

Ostatnio edytowany przez buster (2019-06-05 21:09:27)

Offline

 

#8  2019-06-19 20:23:42

  hi - Zbanowany

hi
Zbanowany
Zarejestrowany: 2016-03-24

Re: Jak wyłączyć całkowicie dany port?

Ja obecnie się przeniosłem na NFtables na moim PieCU, i mam coś takiego:

a miało być podobno prościej :) japrd znów czegoś trzeba się uczyć bo komuś się coś tam gdzieś coś, ehh spoko mam czas :)
btw do którego jaja bangla iptables?

Ostatnio edytowany przez hi (2019-06-19 20:27:42)


"Są drogi, którymi nie należy podążać, armie, których nie należy atakować, fortece, których nie należy oblegać, terytoria, o które nie należy walczyć, zarządzenia, których nie należy wykonywać" Sun Tzu

Offline

 

#9  2019-06-19 20:33:17

  urbinek - Dzban Naczelny

urbinek
Dzban Naczelny
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: Jak wyłączyć całkowicie dany port?

hi napisał(-a):

btw do którego jaja bangla iptables?

Wyjebongo, FW używam tylko na routerze :D


A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)