portas não "stealthed" no firewall [RESOLVIDO]

pedrotr
(usa Ubuntu)

Enviado em 12/02/2010 - 14:07h

pessoal fiz uma analise no "Advanced Port Scaner"do site PC Flank... e ele diz que a porta 12345 TCP ta só fechada e não "stealthed", e olha q eu criei uma regra no firewall só pra essa porta:

iptables -A INPUT -p tcp --dport 12345:12346 -j DROP

...isso de vez enquando também acontece com a porta 139... gostaria de saber se isso é algo no meu firewall e sobre se as informações da análise desse site são realmente confiavéis...

valeu a ajuda..

renato_pacheco
(usa Debian)

Enviado em 12/02/2010 - 14:17h

Tente modificar essa regra para essa:

iptables -A INPUT -p tcp --dport 12345:12346 -j REJECT

E veja se dá a msm condição...

Diede
(usa Debian)

Enviado em 12/02/2010 - 15:00h

O site é "confiável" sim, já que o que ele faz é só tentar conectar a seu IP em determinada porta e "ver no que dá".
Se você não está como stealth, isso depende do que vem antes dessa regra no seu firewall.
Apenas por sí, "iptables -A INPUT -p tcp --dport 12345:12346 -j DROP" já seria stealth, mas se antes dela houver outra regra que bata a mesma condição, apenas a outra regra terá efeito.
Em casos como este, tente deixar suas novas regras em primeiro lugar, como:
iptables -I INPUT -p tcp --dport 12345:12346 -j DROP

pedrotr
(usa Ubuntu)

Enviado em 12/02/2010 - 15:31h

coloquei o comando logo nocomeço do firewall:

#!/bin/bash

echo "Ativando o Firewall."


# Abre para uma faixa de endereços da rede local
iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -j DROP
iptables -A INPUT -p tcp --dport 12345:12346 -j DROP
...

ele deixa stealth as portas 139 e 12346 mas a 12345 fica só closed...

também usei a sugestão de trocar drop por reject mas deu na mesma...

DecioSP
(usa Slackware)

Enviado em 13/02/2010 - 02:03h

Não sei se vai funcionar, mas posso sugerir a troca do DROP pelo REJECT e a inclusão de um --reject-with ...
...-j REJECT --reject-with tcp-reset

pedrotr
(usa Ubuntu)

Enviado em 13/02/2010 - 13:54h

também fiz oq vc falou DecioSP:

REJECT --reject-with tcp-reset

mas continua a mesma coisa... o site do PcFlank as vezes mostra essas portascomo stealthes as vezes como closed...

DecioSP
(usa Slackware)

Enviado em 13/02/2010 - 19:52h

Talvez você esteja com problemas para "resetar" argumentos (será que algum aplicativo não está sobrescrevendo suas regras?).
Caso você me permita uma sugestão, tem um script de firewall excelente em (http://www.ledow.org.uk/linux/rc.firewall)
Basta copia-lo para /etc/rc.d/, torna-lo executável e executar.
Até agora ele deu conta de todas as minhas necessidades.
Na pior das hipoteses, ele vale uma olhada para estudar o código.

pedrotr
(usa Ubuntu)

Enviado em 13/02/2010 - 23:37h

usei o script q vc falou aqui mas continua aparecendo a mesma coisa no site....


:/

DecioSP
(usa Slackware)

Enviado em 14/02/2010 - 00:57h

Bom, estive olhando informações da porta em questão e ela se refere a Italk Chat System (http://www.grc.com/port_12345.htm), você tem certeza que não está rodando nenhum aplicativo que dá permissão a essa porta?
Caso não esteja, minha recomendação é:
Limpe os cookies (inclusive os supercookies)
Saia de qualquer aplicativo que utilize acesso a internet (De preferencia, feche o ambiente X)
Caso seja possivel, se desconecte da internet.
Faça um ./rc.firewall stop e depois um ./rc.firewall start (acho que tem uma opção ./rc.firewall restart, mas você tem que dar uma olhada)
Conecte novamente e teste a porta pelo https://www.grc.com/x/ne.dll?rh1dkyd2
Caso ainda a porta esteja aparecendo como fechada, pode ser um problema do tipo: Adaptive IDENT Stealthing Experimentation, para saber mais, teste o scan all service ports no grc, depois de postar o resultado, ele vai mostrar as possiveis falhas, se houver, e vai discorrer um pouco sobre o problema em questão. Vale dar uma olhada no que ele diz.
Eu confesso que testei aqui no meu e o firewall marcou essa porta como stealth.

DecioSP
(usa Slackware)

Enviado em 14/02/2010 - 01:01h

Só para constar, não estou conseguindo abrir esse PC Flank que você mencionou, aqui está dando HTTP 404, você tem certeza que esse site de testes ai é confiável?

pedrotr
(usa Ubuntu)

Enviado em 14/02/2010 - 15:51h

o site q eu usei é esse. http://www.pcflank.com


quando eu uso o Shields Up q vc falou sempre aparece todas as portas como stealth... mas até no windows aparece assim... nunca acreditei muito nesse site ae...


... existe algum programa no linux q procura vulnerabilidades de conexão ou algo parecido??

pedrotr
(usa Ubuntu)

Enviado em 14/02/2010 - 15:58h

isso q aparece quando uso iptables-L:

Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- anywhere anywhere tcp dpt:netbios-ssn
DROP tcp -- anywhere anywhere tcp dpt:loc-srv
DROP tcp -- anywhere anywhere tcp dpt:3128
DROP tcp -- anywhere anywhere tcp dpt:1008
DROP tcp -- anywhere anywhere tcp dpts:12345:12346
ACCEPT all -- 192.168.0.0/24 anywhere
DROP udp -- anywhere anywhere udp dpts:33435:33525
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP tcp -- anywhere anywhere
DROP udp -- anywhere anywhere
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination


tem algo errado??

eu ainda num entendo muito de linux... como vejo se tem algum programa sobreescrevendo minhas regras, como vc falou...

valeu!