forum.opennet.ru - "как перекрыть доступ к порту 139? снаружи?" (9)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"как перекрыть доступ к порту 139? снаружи?"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"как перекрыть доступ к порту 139? снаружи?"
Сообщение от kA on 10-Ноя-03, 15:46 (MSK)
здравствуйте все. есть такая проблема: есть сервер с samba и он же мост между lan и www. eth0 смотрит в локалку, а eth1 в интернет хотел сделать невидимым samba и X снаружи. где-то прочитал такую инфу: "Создадим цепочку, через которую пойдет весь трафик от провайдера: ipchains -N prov ipchains -A input -i eth0 -j prov На всякий случай запретим телнет снаружи: ipchains -A prov -p tcp --destination-port 23 -j REJECT Если хотите, чтобы samba не светилась наружу, запретите порты 137-139 ipchains -A prov -p tcp --destination-port 137 -j REJECT ipchains -A prov -p udp --destination-port 137 -j REJECT то же с портами 138, 129" ----------- ок, пишем: iptables -N prov iptables -A INPUT -i eth1 -j prov запретим телнет снаружи: iptables -A prov -p tcp --destination-port 23 -j REJECT запретим samba: iptables -A prov -p tcp --destination-port 139 -j REJECT iptables -A prov -p udp --destination-port 139 -j REJECT запретим X11: iptables -A prov -p tcp --destination-port 6000 -j REJECT iptables -A prov -p udp --destination-port 6000 -j REJECT а порты 139 и 6000 все равно видны. не подскажете, где моя ошибка? спасибо.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

как перекрыть доступ к порту 139? снаружи?, Sutry, 16:14 , 10-Ноя-03, (1)
- как перекрыть доступ к порту 139? снаружи?, kA, 16:17 , 10-Ноя-03, (2)
- как перекрыть доступ к порту 139? снаружи?, kmxb, 20:05 , 10-Ноя-03, (3)
  - как перекрыть доступ к порту 139? снаружи?, dev, 00:23 , 11-Ноя-03, (4)
    - как перекрыть доступ к порту 139? снаружи?, ASh, 10:01 , 11-Ноя-03, (5)
      - как перекрыть доступ к порту 139? снаружи?, DogEater, 10:48 , 11-Ноя-03, (6)
      - как перекрыть доступ к порту 139? снаружи?, kA, 11:45 , 11-Ноя-03, (7)
как перекрыть доступ к порту 139? снаружи?, noname, 14:03 , 11-Ноя-03, (8)
- как перекрыть доступ к порту 139? снаружи?, kA, 14:45 , 11-Ноя-03, (9)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "как перекрыть доступ к порту 139? снаружи?"

Сообщение от Sutry on 10-Ноя-03, 16:14  (MSK)

А сама самба слушает только локальную сеть?
        interfaces = 10.1.2.102/24
        hosts allow = 10.1.2.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "как перекрыть доступ к порту 139? снаружи?"

Сообщение от kA on 10-Ноя-03, 16:17  (MSK)

>А сама самба слушает только локальную сеть?
да

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "как перекрыть доступ к порту 139? снаружи?"

Сообщение от kmxb on 10-Ноя-03, 20:05  (MSK)

>А сама самба слушает только локальную сеть?
т.е. можно не бояться? :)
а все же как же? :)
ладно, пойду еще почитаю.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "как перекрыть доступ к порту 139? снаружи?"

Сообщение от dev on 11-Ноя-03, 00:23  (MSK)

>>А сама самба слушает только локальную сеть?
>т.е. можно не бояться? :)
>а все же как же? :)
>ладно, пойду еще почитаю.
Надо посмотреть
netstat -atun
убедиться в наличии записей
0.0.0.0:13{7,8,9}
и продолжать бояться :)

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "как перекрыть доступ к порту 139? снаружи?"

Сообщение от ASh on 11-Ноя-03, 10:01  (MSK)

>>>А сама самба слушает только локальную сеть?
>>т.е. можно не бояться? :)
>>а все же как же? :)
>>ладно, пойду еще почитаю.
        hosts allow = 192.168.0. 127.
        interfaces = 192.168.0.1 lo
        bind interfaces only = Yes
И твоя самба станет белой и пушистой

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "как перекрыть доступ к порту 139? снаружи?"

Сообщение от DogEater on 11-Ноя-03, 10:48  (MSK)

>>>>А сама самба слушает только локальную сеть?
>>>т.е. можно не бояться? :)
>>>а все же как же? :)
>>>ладно, пойду еще почитаю.
>
>        hosts allow = 192.168.0.
>127.
>        interfaces = 192.168.0.1 lo
>
>        bind interfaces only =
>Yes
>
>И твоя самба станет белой и пушистой
a nmbd  разьве не на всех интерфейсах слушает?
smbd  привязать - пожалуйста а nmbd у меня лично не получилось

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "как перекрыть доступ к порту 139? снаружи?"

Сообщение от kA on 11-Ноя-03, 11:45  (MSK)

>hosts allow = 192.168.0. 127.
>interfaces = 192.168.0.1 lo
>bind interfaces only = Yes
>И твоя самба станет белой и пушистой
не помогает это все,
еще раз пошел читать iptables-t, получится, расскажу.

пока пробовал вот так,но не вышло:
/usr/sbin/iptables -F
/usr/sbin/iptables -t nat -F
/usr/sbin/iptables -t mangle -F
/usr/sbin/iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to xxx.xxx.xxx.xxx(мой IP)
/usr/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/usr/sbin/iptables -A INPUT -m state --state NEW -i ! eth1 -j ACCEPT
/usr/sbin/iptables -P INPUT DROP
/usr/sbin/iptables -A FORWARD -i eth1 -o eth1 -j REJECT

/usr/sbin/iptables -N prov1
/usr/sbin/iptables -A INPUT -i eth1 -j prov1
/usr/sbin/iptables -N prov2
/usr/sbin/iptables -A INPUT -i ppp+ -j prov2

/usr/sbin/iptables -A prov1 -p tcp --destination-port 135:139 -j REJECT
/usr/sbin/iptables -A prov1 -p udp --destination-port 135:139 -j REJECT
/usr/sbin/iptables -A prov2 -p tcp --destination-port 135:139 -j REJECT
/usr/sbin/iptables -A prov2 -p udp --destination-port 135:139 -j REJECT

/usr/sbin/iptables -A prov1 -p tcp --destination-port 6000 -j REJECT
/usr/sbin/iptables -A prov1 -p udp --destination-port 6000 -j REJECT
/usr/sbin/iptables -A prov2 -p tcp --destination-port 6000 -j REJECT
/usr/sbin/iptables -A prov2 -p udp --destination-port 6000 -j REJECT

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "как перекрыть доступ к порту 139? снаружи?"

Сообщение от noname on 11-Ноя-03, 14:03  (MSK)

>здравствуйте все. есть такая проблема:
>есть сервер с samba и он же мост между lan и www.
>
>eth0 смотрит в локалку, а eth1 в интернет
>хотел сделать невидимым samba и X снаружи.
>где-то прочитал такую инфу:
>"Создадим цепочку, через которую пойдет весь трафик от провайдера:
>ipchains -N prov
>ipchains -A input -i eth0 -j prov
>На всякий случай запретим телнет снаружи:
>ipchains -A prov -p tcp --destination-port 23 -j REJECT
>Если хотите, чтобы samba не светилась наружу, запретите порты 137-139
>ipchains -A prov -p tcp --destination-port 137 -j REJECT
>ipchains -A prov -p udp --destination-port 137 -j REJECT
>то же с портами 138, 129"
>-----------
>ок, пишем:
>iptables -N prov
>iptables -A INPUT -i eth1 -j prov
>запретим телнет снаружи:
>iptables -A prov -p tcp --destination-port 23 -j REJECT
>запретим samba:
>iptables -A prov -p tcp --destination-port 139 -j REJECT
>iptables -A prov -p udp --destination-port 139 -j REJECT
>запретим X11:
>iptables -A prov -p tcp --destination-port 6000 -j REJECT
>iptables -A prov -p udp --destination-port 6000 -j REJECT
>
>а порты 139 и 6000 все равно видны. не подскажете, где моя
>ошибка?
>спасибо.
Начнем с того, КАК они видны. Видны при внешнем сканировании с помощью чего-то типа nmap? Или видны при выводе команды netstat -an?
Если первый случай - значит файрволл твой не работает. Во втором случае (если файрволл настроен все таки правильно). порты по netstat будут видны, но iptables просто не пропустят к ним извне запрос.
кстати, если правильно написаны host allow и interfaces - то Самба и сама все нежелательные запросы рубит

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "как перекрыть доступ к порту 139? снаружи?"

Сообщение от kA on 11-Ноя-03, 14:45  (MSK)

>Начнем с того, КАК они видны. Видны при внешнем сканировании с помощью
>чего-то типа nmap? Или видны при выводе команды netstat -an?
именно nmap.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "как перекрыть доступ к порту 139? снаружи?"
Сообщение от Sutry on 10-Ноя-03, 16:14 (MSK)
А сама самба слушает только локальную сеть? interfaces = 10.1.2.102/24 hosts allow = 10.1.2.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "как перекрыть доступ к порту 139? снаружи?"
	Сообщение от kA on 10-Ноя-03, 16:17 (MSK)
	>А сама самба слушает только локальную сеть? да
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "как перекрыть доступ к порту 139? снаружи?"
	Сообщение от kmxb on 10-Ноя-03, 20:05 (MSK)
	>А сама самба слушает только локальную сеть? т.е. можно не бояться? :) а все же как же? :) ладно, пойду еще почитаю.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "как перекрыть доступ к порту 139? снаружи?"
	Сообщение от dev on 11-Ноя-03, 00:23 (MSK)
	>>А сама самба слушает только локальную сеть? >т.е. можно не бояться? :) >а все же как же? :) >ладно, пойду еще почитаю. Надо посмотреть netstat -atun убедиться в наличии записей 0.0.0.0:13{7,8,9} и продолжать бояться :)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "как перекрыть доступ к порту 139? снаружи?"
	Сообщение от ASh on 11-Ноя-03, 10:01 (MSK)
	>>>А сама самба слушает только локальную сеть? >>т.е. можно не бояться? :) >>а все же как же? :) >>ладно, пойду еще почитаю. hosts allow = 192.168.0. 127. interfaces = 192.168.0.1 lo bind interfaces only = Yes И твоя самба станет белой и пушистой
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "как перекрыть доступ к порту 139? снаружи?"
	Сообщение от DogEater on 11-Ноя-03, 10:48 (MSK)
	>>>>А сама самба слушает только локальную сеть? >>>т.е. можно не бояться? :) >>>а все же как же? :) >>>ладно, пойду еще почитаю. > > hosts allow = 192.168.0. >127. > interfaces = 192.168.0.1 lo > > bind interfaces only = >Yes > >И твоя самба станет белой и пушистой a nmbd разьве не на всех интерфейсах слушает? smbd привязать - пожалуйста а nmbd у меня лично не получилось
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "как перекрыть доступ к порту 139? снаружи?"
	Сообщение от kA on 11-Ноя-03, 11:45 (MSK)
	>hosts allow = 192.168.0. 127. >interfaces = 192.168.0.1 lo >bind interfaces only = Yes >И твоя самба станет белой и пушистой не помогает это все, еще раз пошел читать iptables-t, получится, расскажу. пока пробовал вот так,но не вышло: /usr/sbin/iptables -F /usr/sbin/iptables -t nat -F /usr/sbin/iptables -t mangle -F /usr/sbin/iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to xxx.xxx.xxx.xxx(мой IP) /usr/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT /usr/sbin/iptables -A INPUT -m state --state NEW -i ! eth1 -j ACCEPT /usr/sbin/iptables -P INPUT DROP /usr/sbin/iptables -A FORWARD -i eth1 -o eth1 -j REJECT /usr/sbin/iptables -N prov1 /usr/sbin/iptables -A INPUT -i eth1 -j prov1 /usr/sbin/iptables -N prov2 /usr/sbin/iptables -A INPUT -i ppp+ -j prov2 /usr/sbin/iptables -A prov1 -p tcp --destination-port 135:139 -j REJECT /usr/sbin/iptables -A prov1 -p udp --destination-port 135:139 -j REJECT /usr/sbin/iptables -A prov2 -p tcp --destination-port 135:139 -j REJECT /usr/sbin/iptables -A prov2 -p udp --destination-port 135:139 -j REJECT /usr/sbin/iptables -A prov1 -p tcp --destination-port 6000 -j REJECT /usr/sbin/iptables -A prov1 -p udp --destination-port 6000 -j REJECT /usr/sbin/iptables -A prov2 -p tcp --destination-port 6000 -j REJECT /usr/sbin/iptables -A prov2 -p udp --destination-port 6000 -j REJECT
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

8. "как перекрыть доступ к порту 139? снаружи?"
Сообщение от noname on 11-Ноя-03, 14:03 (MSK)
>здравствуйте все. есть такая проблема: >есть сервер с samba и он же мост между lan и www. > >eth0 смотрит в локалку, а eth1 в интернет >хотел сделать невидимым samba и X снаружи. >где-то прочитал такую инфу: >"Создадим цепочку, через которую пойдет весь трафик от провайдера: >ipchains -N prov >ipchains -A input -i eth0 -j prov >На всякий случай запретим телнет снаружи: >ipchains -A prov -p tcp --destination-port 23 -j REJECT >Если хотите, чтобы samba не светилась наружу, запретите порты 137-139 >ipchains -A prov -p tcp --destination-port 137 -j REJECT >ipchains -A prov -p udp --destination-port 137 -j REJECT >то же с портами 138, 129" >----------- >ок, пишем: >iptables -N prov >iptables -A INPUT -i eth1 -j prov >запретим телнет снаружи: >iptables -A prov -p tcp --destination-port 23 -j REJECT >запретим samba: >iptables -A prov -p tcp --destination-port 139 -j REJECT >iptables -A prov -p udp --destination-port 139 -j REJECT >запретим X11: >iptables -A prov -p tcp --destination-port 6000 -j REJECT >iptables -A prov -p udp --destination-port 6000 -j REJECT > >а порты 139 и 6000 все равно видны. не подскажете, где моя >ошибка? >спасибо. Начнем с того, КАК они видны. Видны при внешнем сканировании с помощью чего-то типа nmap? Или видны при выводе команды netstat -an? Если первый случай - значит файрволл твой не работает. Во втором случае (если файрволл настроен все таки правильно). порты по netstat будут видны, но iptables просто не пропустят к ним извне запрос. кстати, если правильно написаны host allow и interfaces - то Самба и сама все нежелательные запросы рубит
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "как перекрыть доступ к порту 139? снаружи?"
	Сообщение от kA on 11-Ноя-03, 14:45 (MSK)
	>Начнем с того, КАК они видны. Видны при внешнем сканировании с помощью >чего-то типа nmap? Или видны при выводе команды netstat -an? именно nmap.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх