Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2019-06-05 16:20:16
buster - 
Użytkownik
- buster
- Użytkownik
- Zarejestrowany: 2019-06-03
Jak wyłączyć całkowicie dany port?
Jak wyłączyć całkowicie port? Dodałem takie reguły do firewall ufw(dany_port to tylko przykład):
Kod:
ufw deny dany_port ufw deny dany_port/tcp ufw deny dany_port/udp
Kod:
sudo ufw status verbose Status: active Logging: on (low) Default: deny (incoming), allow (outgoing), disabled (routed) New profiles: skip To Action From -- ------ ---- dany_port DENY IN Anywhere dany_port/tcp DENY IN Anywhere dany_port/udp DENY IN Anywhere dany_port (v6) DENY IN Anywhere (v6) dany_port/tcp (v6) DENY IN Anywhere (v6) dany_port/udp (v6) DENY IN Anywhere (v6)
Jednak polecenie
netstat -tapen
ip/dany_port ESTABLISHED
Pokazuje mi nadal połączenie na tym porcie i próbujący się połączyć z moim komputerem dany adres ip, więc wychodzi na to, że tylko zablokowałem ten port, ale go nie wyłączyłem? Chciałbym osiągnąć taki rezultat, aby netstat -tapen już mi go nie pokazywał, czyli muszę całkowicie zamknąć, wyłączyć ten port.
Ostatnio edytowany przez buster (2019-06-05 16:22:45)
Offline
#2 2019-06-05 16:53:40
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Jak wyłączyć całkowicie dany port?
UFW to nie jest firewall tylko nakładka na narzędzie iptables.
UFW koszmarnie utrudnia korzystanie z firewalla.
I napisz, czy ten port chcesz zablokować na połączenia wychodzące do internetu, czy przychodzące nowe połączenia z internetu (które chyba masz w tej chwili zablokowane).
I oczywiście, czy ten dany_port to jest port źródłowy czy docelowy połączenia.
Na razie to Twoje pytanie ma niewiele sensu.
Ostatnio edytowany przez Jacekalex (2019-06-05 16:55:15)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#3 2019-06-05 17:10:30
buster - Użytkownik
- buster
- Użytkownik
- Zarejestrowany: 2019-06-03
Re: Jak wyłączyć całkowicie dany port?
Tak czytałem o tym, że UFW zaśmieca reguły iptables -L, ale na desktopie powinien mi wystarczyć. Chce zablokować ten port na połączenia przychodzące i wychodzące, ponieważ on się łączy z moją przeglądarką. Port źródłowy – określa port aplikacji, z której wysłano dane. Port docelowy – określa port aplikacji, do której wysłano dane. Czyli jeżeli połączy się z moją przeglądarką, działa jednocześnie jako port źródłowy i docelowy?
Offline
#4 2019-06-05 17:37:43
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Jak wyłączyć całkowicie dany port?
Port komunikacji nigdy z niczym się sam nie łączy.
To programy używają tych wirtualnych portów do komunikacji sieciowej.
Porty to witrualny mechanizm, pozwalający na to, żeby wielu użytkowników lub wiele programów mogło korzystać równocześnie z jednego połączenia sieciowego.
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#5 2019-06-05 18:00:30
buster - Użytkownik
- buster
- Użytkownik
- Zarejestrowany: 2019-06-03
Re: Jak wyłączyć całkowicie dany port?
A możesz polecić jakąś konfigurację lub poradnik do ustawienia iptables na laptopie? Ustawił bym input, forward, output na drop, a co mi jest potrzebne zezwoliłbym. Nie jest tego dużo jakieś porty do przeglądarek 80, 443, do menadżera pakietów, do PyCharm, Intellij, abym można było aktualizować te ide. Korzystam tylko z wifi i networkmanager. Usunąłbym ufw z systemu i wyczyścił konfigurację iptables -F ustawiając wszystko na nowo.
Taki przykładowy zestaw na desktop, ale wydaje mi się, że dużo wpisów z tego opisu jest mi niepotrzebne na laptopie, co mogę usunąć?
Kod:
iptables -F iptables -X # te wpisy pominąłem raczej nie są mi potrzebne gdy korzystam z wifi i networkmanager? # iptables -t nat -F # iptables -t nat -X # iptables -t mangle -F # iptables -t mangle -X iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT #Blokuję nieprawidłowe pakiety iptables -A INPUT -p tcp -j DROP -m state --state INVALID #Dopuszczam ruch przychodzący iptables -A INPUT -p tcp --dport 80 -m limit --limit 5/s -j ACCEPT iptables -A INPUT -p tcp --dport 20 -m limit --limit 5/s -j ACCEPT iptables -A INPUT -p tcp --dport 21 -m limit --limit 5/s -j ACCEPT iptables -A INPUT -p udp --dport 20 -m limit --limit 5/s -j ACCEPT iptables -A INPUT -p udp --dport 21 -m limit --limit 5/s -j ACCEPT iptables -A INPUT -p tcp --dport 5001 -j ACCEPT iptables -A INPUT -p tcp --dport 5522 -m limit --limit 5/s -j ACCEPT iptables -A INPUT -p tcp --dport 50024 -j ACCEPT iptables -A INPUT -p udp --dport 50034 -j ACCEPT iptables -A INPUT -p tcp --dport 50040 -j ACCEPT iptables -A INPUT -p udp --dport 50041 -j ACCEPT #Dopuszczam ruch na DNSach iptables -A OUTPUT -p udp -o eth0 --dport 53 --sport 1024:65535 -j ACCEPT iptables -A INPUT -p udp -i eth0 --sport 53 --dport 1024:65535 -j ACCEPT #Dopuszczam powrót pinga iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT #Dopuszczam do ruchu połączniua już nawiązane i powiązane iptables -A INPUT -m state --state RELATED -j ACCEPT iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT #Dopuszczam ruch na interfejsie lokalnym iptables -A INPUT -s 127.0.0.1 -j ACCEPT iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT
Ostatnio edytowany przez buster (2019-06-05 21:06:06)
Offline
#6 2019-06-05 19:41:46
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Jak wyłączyć całkowicie dany port?
Na Dekstopa/Laptopa?
Kod:
iptables -F iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
Tu masz wyjaśnienie:
https://pl.wikibooks.org/wiki/Sieci_w_Linuksie/Netf … rzyk%C5%82ady
Na desktopie niczego nie powinieneś wpuszczać do kompa, tylko pozwolić na połączenia nawiązane i kontynuowane, które zostały rozpoczęte z wnętrza systemu operacyjnego.
Ja obecnie się przeniosłem na NFtables na moim PieCU, i mam coś takiego:
Kod:
table inet filter {
set systemdns {
type ipv4_addr
elements = { 8.8.4.4, 8.8.8.8,
208.67.220.220, 208.67.222.222 }
}
set systemdns6 {
type ipv6_addr
elements = { 2001:4860:4860::8844,
2001:4860:4860::8888,
2620:0:ccc::2,
2620:0:ccd::2 }
}
chain input {
type filter hook input priority 0; policy drop;
ct state established,related accept
iif "lo" accept
ip6 nexthdr ipv6-icmp counter accept
ip protocol icmp icmp type { destination-unreachable, router-advertisement, router-solicitation, time-exceeded, parameter-problem } accept
ip protocol igmp accept
}
chain forward {
type filter hook forward priority 0; policy drop;
}
chain output {
type filter hook output priority 200; policy drop;
ct state established,related accept
oifname "lo" accept
ip daddr @systemdns counter accept
ip6 daddr @systemdns6 counter accept
ip protocol icmp counter accept
ip6 nexthdr ipv6-icmp counter accept
cgroup 1 counter accept
cgroup 2 counter accept
cgroup 3 counter accept
cgroup 4 counter accept
cgroup 5 counter accept
cgroup 6 counter accept
cgroup 7 counter accept
cgroup 8 counter accept
cgroup 9 counter accept
cgroup 11 counter accept
}
}Z tym, że 90% tego FW to filtrowanie OUTPUT, a nie INPUT, min wszystkie reguły cgroup filtrują OUTPUT.
Ostatnio edytowany przez Jacekalex (2019-06-05 19:45:20)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#7 2019-06-05 20:05:43
buster - Użytkownik
- buster
- Użytkownik
- Zarejestrowany: 2019-06-03
Re: Jak wyłączyć całkowicie dany port?
Na przykład w ufw mam cały ruch przychodzący zablokowany, a odblokowany wychodzący. Otwarte dwa porty do przeglądarek w obie strony. Sądziłem że to polecenie zablokuje mi wychodzący port z przeglądarki.
ufw delete allow dany_port/tcp
Czy ono blokuje ruch wychodzący i przychodzący na danym porcie? Teraz doszedłem do wniosku, że to przeglądarka wysyła ruch na tym porcie, dlatego
ufw default deny incoming
Nie mogło go zablokować i netstat -tapen pokazuje mi cały czas nawiązane połączenie. Dzięki, nakierowałeś mnie na rozwiązanie, to UFW miało bug, dlatego nie blokowało mi tego portu. Na iptables jest wszystko w porządku. Czyli to polecenie
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
nawiązuje tylko połączenia wychodzące z mojej sieci/komputera. Używa modułu conntrack, który pozwala dopasowywać stany połączeń widziane przez mechanizm śledzenia conntrack. Możesz napisać coś więcej na czym to dokładnie polega? Dlaczego używasz nftables, w czym jest lepszy od iptables, jest szybszy, prostszy w konfiguracji? Czytałem że PF od OpenBSD jest też dobrą zaporą. Ale w czym jest dokładnie lepsza nie wiem, może chodzi o prostotę konfiguracji w stylu ufw?
Ostatnio edytowany przez buster (2019-06-05 21:09:27)
Offline
#8 2019-06-19 20:23:42
hi - Zbanowany
- hi
- Zbanowany
- Zarejestrowany: 2016-03-24
Re: Jak wyłączyć całkowicie dany port?
Ja obecnie się przeniosłem na NFtables na moim PieCU, i mam coś takiego:
a miało być podobno prościej :) japrd znów czegoś trzeba się uczyć bo komuś się coś tam gdzieś coś, ehh spoko mam czas :)
btw do którego jaja bangla iptables?
Ostatnio edytowany przez hi (2019-06-19 20:27:42)
"Są drogi, którymi nie należy podążać, armie, których nie należy atakować, fortece, których nie należy oblegać, terytoria, o które nie należy walczyć, zarządzenia, których nie należy wykonywać" Sun Tzu
Offline
