portas abertas no micro< como fecha-las?

galera acabei de fazer o teste o dr.controle e ele diz que eu tenho a porta 21, 80 e 139 aberta, como deixar essas portas abertas para minha rede e não para a internet inteira Qual sua distro cara ? No Slack vc pode alterar os scripts que ficam em /etc/rc.d e/ou usar o iptables p/ bloquear tais portas bom vai la minha contribuição

seguinte para bloquear somente para a internet primeir voce precisa descobrir qual a sua interface com a intenet discada é ppp0 velox e afins e alguma ethX X éo número digita ifconfig e descubra ae,

iptables -A INPUT -i XXX -t tcp --dport YYY -j DROP

onde XXX é a interface com a rede e YYY é o numero da porta TCP.
mas eu faço o seguinte

fecho todas as portas ate 3200 em ppp0
seguinte

iptables -A INPUT -i ppp0 -t tcp --dport :3200 -j DROP
assim fica para voce mais para min é diferente pois minha politica da chain input é drop

se a sua politica for drop que recomendo voce tera que fazer o seguinte

iptables -A INPUT -i ppp0 -t tcp --dport 3200:65535 -j ACCEPT

bom se voce utilizar a politica de drop vai ter que usar mais dois comandos
liberar acesso na porta 53 udp somente dos destinos do seu provedor!

iptables -A INPUT -i ppp0 -t udp --dport 53 -s XXX -j ACCEPT
iptables -A INPUT -i ppp0 -t udp --dport 53 -s YYY -j ACCEPT

onde XXX é o ip da máquina dns primária do seu provedor
e YYY adivinha????

qualquer duvida posta ae ..... so com esse comando eu ja resolveria meu problema
iptables -A INPUT -i ppp0 -t tcp --dport :3200 -j DROP ue isso é um teste? ou voce tava pedindo ajuda? não e nada de teste, olha o resultado do teste que eu fiz
eu quero deixa-las fechadas para a internet, por isso perguntei se so esse comando resolveria
Diagnóstico das portas verificadas

porta 21/TCP (FTP) -> porta aberta

Existe um servidor FTP ativo nesta porta.
A resposta desta porta foi:
220 ProFTPD 1.2.7 Server (ProFTPD Default Installation) [Micro01]

Um servidor de FTP (File Transfer Protocol) tem como
função principal, o armazenamento de arquivos para downloads. É também
através deste serviço que é feita a administração remota de web sites.
O ataque mais comum nesta porta é de hackers / crackers procurando
por uma forma de acesso anônimo. Existem servidores de FTP que
contém diretórios que podem ser gravados e lidos, permitindo dessa forma,
que hackers / crackers usem estas máquinas como um ponto de
transferência de programas piratas (warez).

porta 23/TCP (Telnet) -> porta fechada
Esta porta está fechada ou inativa.

porta 25/TCP (SMTP) -> porta fechada
Esta porta está fechada ou inativa.

porta 80/TCP (HTTP) -> porta aberta

Existe um servidor Web ativo nesta porta.
A resposta desta porta foi:
Apache-AdvancedExtranetServer/2.0.44 (Mandrake Linux/11mdk) mod_perl/1.99_08 Perl/v5.8.0 mod_ssl/2.0.44 OpenSSL/0.9.7a PHP/4.3.1
A porta 80 é a porta padrão na qual browsers (ex:
Internet Explorer, Netscape, etc.), comunicam-se com servidores web. Se esta
porta estiver ativa (aberta), você provavelmente tem um serviço de
servidor web habilitado nesta porta.

porta 110/TCP (POP3) -> porta fechada
Esta porta está fechada ou inativa.

porta 139/TCP (NETBIOS) -> porta aberta

O serviço NetBIOS Session parece estar ativo nesta porta.
Se você usa o sistema operacional Windows® neste microcomputador e
mantém habilitado os recursos de compartilhamento de arquivos e impressora,
sua conexão poderá ser invadida a qualquer momento.
Esta pode ser classificada como uma falha de segurança
primária, além de possuir um dos maiores fatores de incidência. Outro
tipo de ataque muito comum na porta NetBIOS/139 é conhecido como
ataque nuke, OOB (Out of Band), ou tela azul da morte.
A execução do Windows será congelada, aparecendo uma tela azul com uma mensagem
de erro tipo Fatal exception 0E at 0028:<endereço> in VxD MSTCP(01) + 000041AE, sendo
necessário reiniciar o computador.

porta 1214/TCP (KaZaA) -> porta fechada
Esta porta está fechada ou inativa.

porta 5190/TCP (ICQ) -> porta fechada
Esta porta está fechada ou inativa.

porta 5000/TCP (UPnP) -> porta fechada
Esta porta está fechada ou inativa.



O Dr.ControleNet® finalizou com sucesso o diagnóstico das 9 portas verificadas.
Diagnóstico do número IP 200.191.129.154 foi realizado em 86 segundos.
Data: Dom 09/Nov/2003 16:00:07 hs
Nome do domínio: 200191129154-dial-user-ECP.acessonet.com.br
Browser do usuário: Mozilla/5.0 (compatible; Konqueror/3.1; Linux)
Consulte acima a situação de cada uma das portas testadas pelo Dr.ControleNet®.


foram encontradas 3 portas abertas.
foram encontradas 6 portas fechadas. Como muda a politica padrão pra drop?

Vlw! iptables -P INPUT ACCEPT/DROP
iptables -P OUTPUT ACCEPT/DROP Estranho este Dr.Controle
Acusou somente 1 porta aberta e ativa, sendo que sabidamente tenho 4, para o nmap existem 4 abertas também. Eu sei que não tem muita a ver com a pergunta mais eu vou postar como forma de ajuda ae pro pessoal do forum
Esse comando serve para ver o serviço que está executando a porta

fuser -v porta/tcp

Após isso você pode fazer um regra para bloquiar essa porta, ou derrubá-la . Fica a seu critério ... 8)

Um abraço iptables -A INPUT -i ppp0 -t tcp --dport :3200 -j DROP

Essa linha não funcionou, ele não reconhece o comando:
Unknown arg `--dport'

Isso é normal ou será que eu fiz alguma besteira? ops foi mal digitei uma letra errada a t é p t referese a tabela e quis quiser protocolo fica assim agora
era
iptables -A INPUT -i ppp0 -t tcp --dport :3200 -j DROP
fica
iptables -A INPUT -i ppp0 -p tcp --dport :3200 -j DROP To ficando com raiva dessa coisa, não há o que eu faça que feche as portas aqui, eu executei esses comandos que vc passou (com a correção agora) e quando uso o nmapfe (aquele do KDE) ele continua mostrando um monte de porta aberta... inclusive a 21 não sei pq raios já que não tenho nenhum server ftp nem nada similar rodando aqui!

Alguma idéia do que pode estar causando tamanha teimosia?

Flw, valeu! Bem, o fuser me indicou que quem está usando a porta 21 é o inetd... mas pq raios ele tá com a porta aberta, agora to perdido mesmo! 2 coisas a verificar

o serviço é ativado no boot?

qual é a topologia do seu firewall se for isolado nã for da sua mesma máqwuina que voce usa voce deve usar nao INPUT na chain e sim FORWARD coloquei essa regra caso fosse o firewall a mesma máquina que voce usa

se nao for use
iptables -A FORWARD .....

ok
qualquer duvida estamos aqui
essa é a função do forum ajudar e ser ajudado...
fui. Sim, o rc.inet1 é executado logo no boot... esse serviço é importante, não é!? Tem que deixar ele ativo, correto?

Bem, não consegui bloquear tudo aqui, na verdade consegui, bloqueei tudo mesmo, nem conseguia pingar o LO! haha
Olha a regra que criei:

#bin/bash
#Pra tornar a regra padrão o DROP:
iptables -P INPUT DROP
iptables -P OUTPUT DROP

#Pra aceitar as coisas que vem da porta 3200 até a 65535 em eth0
iptables -A INPUT -i eth0 -p tcp --dport 3200:65535 -j ACCEPT

#Pra liberar os DNSs... essa parte nào entendi bem pra que serve! haha
iptables -A INPUT -i eth0 -p udp --dport 53 -s 200.204.0.10 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 53 -s 200.204.0.138 -j ACCEPT

Enfim... quando executo isso a coisa para como um todo aqui!

Fiquei imaginando, tá tudo bloqueado, então eu teria que ir liberando porta-por-porta pra conseguir navegar, certo? mas ai as portas vão ficar abertas do mesmo jeito? sei lá, acabai boiando!

Ah, minha própria máquina é o firewall e tal!

Valeu! Já mandei o inetd pro espaço, esquece... confundi tudo!

A porta 21 já está fechada, agora só resta a duvida de fechar tudo e tal!

Valeu... desculpa a pentelhação, é que eu to fazendo mesmo o que vc tá dizendo! hehe

Flw! O script do dr.controle.net é muito limitado, pegue os testes on lines desses sites também:
http://www.auditmypc.com/
http://scan.sygate.com/prestealthscan.html (esse tem vários testes também, mas duvido da veracidade dos testes)
Se alguém souber de um bom ... bom meu filho o dns serve para quando voce digita www.google.com.br voce nao acessar o google.com.br ele ta num servidor que é acessado por ip dns é uma tabela que tem os endereços "humanos" correspondentes os endereços ip
por exemplo não é preciso voce liberar o dns mas em vez de digitar a url no browser voce deve digitar o ip ruim não entao
a porta 53 udp é que cuida disso
outra coisa mil desculpas digitei errado denovo eu digitei isso de cabeça e nao testei desculpe

iptables -A INPUT -i eth0 -p udp --dport 53 -s 200.204.0.138 -j ACCEPT

é so voce tirar o -p udp --dport 53 porque ele nao usa somente a porta 53....

voce nao conseguiu pingar o looback pois o ping usa o protocolo icmp e nao o tcp ou udp e bom voce deixar o protocolo
icmp desativado isso é bom somente para os hacker para descobrir a topologia da sua rede e fazer ping of death e demais
voce nao precisa disso, alias se voce deixar isso desativado muitos scanners de portas vai ter dificuldades em te scannear..

qualquer coisa posta.... Como eu desabilito o icmp cara ? Isto é uma dúvida minha também