Porta 445 e afins.. Linux amiguinho do WIN ???

pater2005
(usa Conectiva)

Enviado em 25/01/2009 - 11:21h

Ola galera... Gostaria de colocar um pequeno desafio que me parece esquecido por nos usuarios Linux..Vcs ja notaram que algumas portas ( como a 445, 137...) ficam constantemente abertas MESMO sendo fechadas por regras no IPTABLE??? OU seja PARECE que estao fechadas mas na REALIDADE continuam abertas.... Nenhum firewall no Linux fecha estas portas... Como disse, nem mesmo fazendo na mao grande no IPTABLE... Duvidas ???? Testem no famoso https://www.grc.com
SE nao haver uma maneira de fechar estes convites a invasao, na verdade, nosso amado LINUX nao passa do mano mais novo do Windows... Qualquer um invade quando quiser. Como deixar a porta de casa aberta e nao querer ser roubado,,,Vejo na internet um monte de gente com o mesmo problema.. Mas ninguem tem a solucao... Uso Sidux mas o mesmo ocorre em todas as plataformas que testei .. Sera que estas portas ficam abertas ~PARA NOSSA SEGURANCA ? Fica o desafio,,,,Valeu!!!

Diede
(usa Debian)

Enviado em 25/01/2009 - 11:41h

Cara, seu firewall pode é estar desconfigurado (tipo: Aceitando e depois dropando estas portas...) no servidor que administro, todas as portas sempre ficam em "Stealth" no teste do GRC. (inclusive a 137 e a 445...)
Tente desta forma:
iptables -I INPUT -i (interface_internet) -p tcp --dport 445 -j DROP

Diede
(usa Debian)

Enviado em 25/01/2009 - 13:23h

Meu Resultado de:
https://www.grc.com/x/portprobe=445


http://www.vivaolinux.com.br/screenshot/Gnome-Porta-445-Oculta

pater2005
(usa Conectiva)

Enviado em 25/01/2009 - 15:20h

Obrigado amigo pela ajuda .. Estava usando o tuto do grande MARIMOTTO para ajudar a configurar o iptable. Reinstalei o iptable e comecei do zero...
Fechei, teoricamente, tudo assim
iptables -A INPUT -p tcp --syn -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 0:30000 -j DROP

Fui novamente ao GRC testar.... A maldita 445 ficou em STEALTH como o amigo disse... Obrigado pela dica... Valeu mesmo...

O problema eh que agora aparecem:
111 Sun RPC - CRITICA - ABERTA
631 Internet Printing protocol ABERTA

Tentei fechar individalmente usando :

iptables -A INPUT -i ppp0 -p udp --dport 111 -j DROP ou
iptables -A FORWARD -i ppp0 -p udp --dport 111 -j DROP

Cara, nem em sonho... Acho que deveria fechar.. Nao sei se eh um problema da versao do Kernel pois no 2.4 com conectiva 10 funcionou...

Obrigado...

Diede
(usa Debian)

Enviado em 26/01/2009 - 10:14h

Cara, uma dica, quanto às suas portas 111 e 631, suas regras estão incompleto;
Você está fechando a porta certa, mas do protocolo errado. Estas portas são sim UDP, porém
também são TCP.

Tente da seguinte forma:

#Zera suas regras anteriores
iptables -F nat
iptables -F mangle
iptables -F filter

#Fecha tudo por padrão
iptables -P INPUT DROP
iptables -P FORWARD DROP

#Permite conexões RELATED...
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT


#Bloqueia tentativas de conexões
#iptables -A INPUT -p tcp --syn -j DROP

#Substitua por esta:
iptables -A INPUT -i ppp0 -p tcp --syn -j DROP

#Fecha uma faixa UDP:
iptables -A INPUT -i ppp0 -p udp --dport 0:30000 -j DROP

#Fecha as citadas portas.
iptables -A INPUT -i ppp0 -p udp --dport 111 -j DROP
iptables -A INPUT -i ppp0 -p tcp --dport 111 -j DROP
iptables -A FORWARD -i ppp0 -p udp --dport 111 -j DROP
iptables -A FORWARD -i ppp0 -p tcp --dport 111 -j DROP