Въпрос От: EMO Дата: 03/23/2002 Zdraveite. Interesyva me kak moga da zatvorq daden port, bez da promenqm faila /etc/serices. Primerno dali ima neshto podobno kato ifconfig eth0 down i sled tova ifconfig eth0 up. Blagodarq predvaritelno. Отговор #1 От: :)) Дата: 03/23/2002 Zdrasti. extra,extra ia kaji koi port ti e otvoren i IP na mashinkata kaji. Kato kajesh tova shte ti kaja kak da si zatvorish porta :P Zdrave da e. Отговор #2 От: milen Дата: 03/24/2002 ;-) tva pak kvo beshe? e, na men mi e otvoren 13 , zapoviadaj... shto ti e da "zatvarash " port ? i kvo razbirash pod tva? ako iskash da ne se zakachva nikoj otvun na tozi port - prosto ne puskash nikakav demon tam.. i tva e. porta sam po sebe si ne moze da e otvoren ili zatvoren - moze da ima slushashta na nego usluga ili da nema nikoj kojto da prieme vruzkata. viz, ako iskash da ne pozvolish na tvoite useri da puskat services na opredeleni portove i t.n. mozesh da filtrirash portove - za vhodiashti i izhodiashti vruzki man iptabs ili man ipchains . Отговор #3 От: Н. Антонов (pcradio@netbg.com) Дата: 03/24/2002 Когато става дума за портове, трябва да знаем, че те имат три състояния - отоворен, затворен и блокиран. Един порт може да е отворен и едновременно с това да е блокиран. Както и ако е затворен, това не означава, че е блокиран. Ако искаш да блокираш даден порт и даден тип връзки, трябва да използуваш iptables (за ядрото 2.4.x). След като ги инсталираш, можеш да приложиш един подобен скрипт: ======================================= #!/bin/sh iptables - F iptables -t nat -f iptables -A INPUT eth0 -p tcp --dropt 22 -j DROP ======================================= Така порт 22 (на който слуша sshd и е отворен) е блокиран за входящи връзки през интерфейса eth0. Това е логиката. Ако искаш да изградиш по-сложни защитни стени,пиши ми на мейла, можем да измислим нещо. Отговор #4 От: milen Дата: 03/24/2002 Anronov, tuka ne sam sahlasen s teb. Tsitiraj mi RFC kadeto se govori za termina "otvoren"port. vprochem ti sam go kzvash po -dolu -"kadeto slusha ssh" t.e. edin por moze da se polzva ili moze da ne se polzva ot dadena serverska usluga. i v dobavka na tva mozesh da go filtrirash, koeto si e rabota na savsem otdelen software. v sluchaja iptables, no ima i suma ti komersialen i free fitrirasht soft i hardware. ta ideata e che port ne se "zatvara" - prosto ne go polzvash ako ne iskash. a ako iskash da si siguren che i nikoj ot tvoite hora nema da go polzva - togava go filtrirash. btw, kogato nmap ti kaze "open" tva oznachava tochno tva - che na tozi port _slusha_ neshto. dobre e da se izkoreni taja zabluda i losha terminologia, za "otvorenite" i "zatvoreni " portove , stoto vodi do izkrivena predstava za tva sto e port pri nachinaeshtite useri. osven tva , "otvoren" (t.e. izpolzvan) port ne znachi che si si ostavil komputara otvoren za vunshnia svet.tva e drugata golema zabluda - vizte kolko otvoreni porove ima, taja mashina ne e sigurna. zavisi do kolko stabilno i sigurno rabotat serverite na tezi portove. naprimer za irc i telnet ne sam chuval da ima exploiti, t.e. greshki, koito da ti pozvolat da pravish drugi neshta , a ne tezi za koito sa prednaznacheni tezi uslugi. za razlika ot ssh, deto vseki mesets izliza nekoj exploit, kakto vseka mlada programa. ili tselata tam grupichka portove v nachaloto daytime, i t.n. - absolutno bezobidni. ta tva e ... nema loshi portove, ima loshi programi. e, da ne zabravame za pravata na purvite 1023 porta , ako servercheto ne e dobre napisano, po dobre da bachka na po-gornite , bez vazmoznost za root prava. s 2 dumi za EMO: ako ne ti trebva nekoja usluga, iskash da "zatvorish" tozi port na servera si, prosto spirash uslugata. ot kadeto i da e, napr. ot /etc/inetd.conf sa povecheto. da ne bachka, netstat -na da ne ti dava LISTENING na tozi port. ako iskash dadena usluga da vavi , no samo vav vutreshnata ti mreza, i izobshto samo za nekoi komputri , ili kakvito i da sa chashtichni ogranichenia , naprimer da si polzvash sambata i windowskata mreza (138,139) samo vav vutreshnata mreza, si pravish filtara(firewall) na routera sas iptabs ili ipchains ili neshto drugo tam, kvoto imash, ako si s bsd ili windows. tva e. egati postinga stana ;)