[UFW] Otwarte porty a blokada na Ufw

[above]

Witam,

Mam pytanko. W terminalku wpisuję:
sudo ufw activate
sudo ufw deny default

I powinno wszystko INCOMING być DENY prawda? Skanuję z poziomu środowiska jakie otwarte porty mam i wyświetla dwa (nie pamiętam jakie bo piszę z pracy z winzgrozy).

Skanuję nmapem z zewnątrz i widać otwarte np. 21, 23, 80.

Na forum często pisze się: jeśli to nie serwer, nie muszą być otwarte żadne porty. No ale jak to nie rozumiem. Jeśli zamkniemy wszystkie - czyli 80 też to nie będziemy mogli korzystać ze stron. Raczej chodziło o iptables i ustawienie INCOMING na DENY a nie że całkowicie dać CLOSE np. 80tce, prawda?

No i tutaj tak:
1. Czy jeśli zrobiłem: ufw deny default to pomimo tego, że 21, 23 są otwarte - nie będzie można zakomunikować się z zewnątrz z nimi?
2. Czy może coś nie tak zrobiłem?

Podejrzewam, że jakiś soft który mam zainstalowany (wszystko oficjalne) ma otwarte te 21, 23. Tylko po kij? Nie pamiętam komendy żeby sprawdzić CO korzysta z danego portu...mógłby ktoś przypomnieć...

PS. Ubuntu jest wspaniałe. Jestem totalnie zaskoczony. Dzięki Androidowi postanowiłem przesiąść się całkowicie na Linuksa. Matuli zainstalowałem na firmowym laptopie, narzeczonej dzisiaj zainstaluje, ojcu jutro - chciałbym jeszcze w firmie ale jest oprogramowanie specjalistyczne i nie wiem czy dałoby się odpalić je - np. klucze sprzętowe są...

PS2. Tak! Moja matka, leming informatyczny korzysta swobodnie z UBUNTU! Linuks prześcignął Windowsa ewidentnie. Update sterów działa pięknie, softu również - a w Win trzeba samemu szperać...ŻAAAAAAAL!

PS3. Mam tableta na Androidzie ICS...wiecie co? To on mnie pośrednio dał impuls do przejścia (ale impulsów było więcej - moje korzenie Linuksowe sięgają do 1999 gdzie instalowałem całą noc RedHata ale to były tylko próby)...nie mam ochoty używać Androida i tego tableta bo zachorowałem na Ubuntu Teraz będę kminił jak zainstalować Ubuntu na jakimś mobilnym sprzęcie dotykowym...nie chcę nic innego

Pozdr. serdecznie świadome bractwo!

[marcin1982]

Podaj wyniki:

Kod: Zaznacz cały

sudo iptables -L

Kod: Zaznacz cały

netstat -tulpn| grep :21

Kod: Zaznacz cały

netstat -tulpn| grep :23

albo:

Kod: Zaznacz cały

nmap localhost

[norvoles]

Akurat to, ze jakieś tam porty są otwarte nie stanowi zagrożenia. To nie są dziury do systemu przez które wszystko wlatuje jak chce.
Jak dla mnie zamiast stosować cuda-niewidy, lepiej użyć tego: viewtopic.php?p=613705#p613705
Do tego za pomocą ss -ap albo netstata można sobie popatrzeć co się dzieje z siecią.

A co d skanowania portów: https://www.grc.com/x/ne.dll?bh0bkyd2

[mistrz1]

A co d skanowania portów: https://www.grc.com/x/ne.dll?bh0bkyd2

Oprócz tego, że na kompie masz firewalla to dostawca internetu ma swojego i on najpierw filtruje połączenie, więc wynik będzie nie Twojego firewalla lecz dostawcy internetu. Sprawdź na tej stronie kilku dostawców internetu, a zobaczysz, że wyniki mogą być różne.

[above]

Podaj wyniki:

Kod: Zaznacz cały

sudo iptables -L

Kod: Zaznacz cały

netstat -tulpn| grep :21

Kod: Zaznacz cały

netstat -tulpn| grep :23

albo:

Kod: Zaznacz cały

nmap localhost

Hej Marcin, dopiero wróciłem do domu stąd dopiero teraz:

iptables -L - http://pokazywarka.pl/x4b3w4/

netstat -tulpn| grep :21 - nic nie wyświetlił
netstat -tulpn| grep :23 - tu też nic
netstat -tulpn| grep :80 - tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 1392/apache2

Czyli co? Skanowałem tym co polecił norvoles i...otwarte 21, 23 i 80 a wg powyższych koment tylko 80. Więc jest tak jak pisze mistrz1, że to są porty TPSA a nie moje? (Nie jestem za NAT'em jakby co).

Hm...czyli najlepiej sprawdzać nie skanerami sieciowymi z zewnątrz tylko netstatem?

PS. Norvoles...wiem, że tak nie jest z tymi portami - nie wiedziałem jedynie tego co napisał mistrz1 - i nadal nie rozumiem - pierwsze słyszę...ja nie jestem za NAT'em dlaczego te 21 i 23 są operatora. Na pewno? A i mam trochę paranoiczne usposobienie - wolę dmuchać na zimne i mieć wszystko pod kontrolą - uczę się, poznaję - a Linuksa używa się m.in. po to, żeby mieć pod kontrolą wszystko prawda?

Dzięki, pozdr.

[mistrz1]

Wyłącz zaporę i zrób test. Na mobilnym internecie są różne wyniki, zależy od operatora. Test robione na publicznym IP, modem usb. Play zamknięty i widoczny port 113, Aero2 zamknięty i widoczny port 1.

[jacekalex]

UFW to w ogóle jest cieżlkie nieporozumienie.
Setki reguł, i diabli wiedzą, co to dziadostwo naprawę robi.
Ja mam w dużym uproszczeniu taki firewall:

Kod: Zaznacz cały

 ~ # iptables -S 
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT  -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state INVALID,NEW -j STEAL
-A INPUT -p tcp -m state --state INVALID,NEW -j TARPIT --honeypot 
-A FORWARD -o ppp+ -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

I zagadkę dla ekspertów od UFW, ten firewall chroni, czy nie chroni?

Te porty na zielono wycina mój ISP.


Pozdrawiam

[rob006]

@above
Co zwraca:

Kod: Zaznacz cały

sudo ufw status

W jaki sposób skanujesz te porty?

@jacekalex
Zagadka raczej dla wróżek, a nie ekspertów. Niestety moja szklana kula się gdzieś zapodziała, więc nie potrafię odgadnąć o co chodzi ci z tym obrazkiem...

[jacekalex]

@jacekalex
Zagadka raczej dla wróżek, a nie ekspertów. Niestety moja szklana kula się gdzieś zapodziała, więc nie potrafię odgadnąć o co chodzi ci z tym obrazkiem...

Wyjaśnienie: xtables-addons - w Ubuntu jako paczka dkms.
Reguła odpowiedziala za "otwarte porty":

Kod: Zaznacz cały

-A INPUT -p tcp -m state --state INVALID,NEW -j TARPIT --honeypot 

Sznurek: http://pl.wikibooks.org/wiki/Sieci:Linu ... cje#TARPIT

Pozdrawiam

[luk1don]

Kiedyś korzystałem z tego konfiguratora:
http://www.lowth.com/LinWiz/1.09/

[above]

Wyłącz zaporę i zrób test. Na mobilnym internecie są różne wyniki, zależy od operatora. Test robione na publicznym IP, modem usb. Play zamknięty i widoczny port 113, Aero2 zamknięty i widoczny port 1.

Wyłączyłem i zrobiłem test. Wynik ten sam co wcześniej: 21, 23, 80 - otwarte - TPSA NEO.
Zrobiłem test udostępniając internet jako WiFi z komórki na Androidzie - wynik: wszystko o statusie Stealth - ale tak naprawdę nie wiem czy skanowało mi komórkę, nadajnik Orange czy komputer

Faktycznie - inny dostawca ... inne porty widoczne jako pootwierane. Skanowałem poprzez GRC.com.

Pytanie na które nie znam odpowiedzi nadal albo nie zrozumiałem: jak to jest...np. standardowo łącząc się poprzez usługi TPSA...gdy ktoś zna moje IP i skanuje mnie np. nmapem to te otwarte 21, 23, 80 otwarte są gdzie? Jako porty gdzie pootwierane? Na pewno nie u mnie teraz bo mam to w iptables -> iptables -P INPUT DROP - czyli na wejściu, dla jakichkolwiek portów mam kategoryczne porzucenie pakietów.

UFW to w ogóle jest cieżlkie nieporozumienie.
Setki reguł, i diabli wiedzą, co to dziadostwo naprawę robi.

Tak. Uaktywniła mi się moja awersja do softu, który sam coś narzuca (nieważne, że niby konfigurowalny). Wcześniej mając UFW pokazałem wynik iptables -L - tragedia. Nie dziwie się Jacek, że tak zareagowałeś. Odinstalowałem więc UFW i poszedłem za tym co polecił Norvoles (viewtopic.php?p=613705#p613705).

Teraz wynik iptables -L wygląda następująco (jeszcze nie optymalizowałem ustawień, wkleiłem jak w HOW-TO podano, przy optymalizacji skorzystam Jacek z części Twoich ustawień):

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Co zwraca:

Kod: Zaznacz cały

sudo ufw status

W jaki sposób skanujesz te porty?

Ufw usunąłem. Skanowałem poprzez grc.com

Kiedyś korzystałem z tego konfiguratora:
http://www.lowth.com/LinWiz/1.09/

Dzięki. Posłużę się konsolą. Mam jakiś taki mentalny minimalizm.

Pozdrawiam

[jacekalex]

Wszystkie polityki ACCEPT - to jest w ogóle nie ustawiony firewall, tylko zresetowany.
Tu masz dobry opis iptables po polsku:
http://pl.wikibooks.org/wiki/Sieci:Linu ... r/iptables

A to jest najprostszy możliwy przykłąd na desktop, który nie udostępnia żadnych usług w internecie:

Kod: Zaznacz cały

iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Tu jest wyjaśnienie działania tego przykładu:
http://pl.wikibooks.org/wiki/Sieci:Linu ... k%C5%82ady

A tu conieco z ostatniej chwili:
http://forums.gentoo.org/viewtopic-t-928728.html

Pozdrawiam

[above]

Wszystkie polityki ACCEPT - to jest w ogóle nie ustawiony firewall, tylko zresetowany.

Tak! Wiedziałem, że ktoś zdąży zauważyć failik podczas restartu przed chwilą. Zapomniałem zrestartować. Patrzę WTF...wszystkie na ACCEPT? Co ja po** żeby otwierać sys na otchłań Internetu?

Tak to wygląda teraz:

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Dzięki! Pozdrawiam

[jacekalex]

Pokaż lepiej wynik

Kod: Zaznacz cały

iptables -S

obecny wynik nie pokazuje kilku ważnych informacji.

[rob006]

UFW sam z siebie niczego nie narzuca, te "setki reguł" nie robią nic ponad to co sobie zdefiniujesz. To jest nakładka, a jeśli ktoś korzysta z nakładki, to nie po to żeby później zaglądać do regułek w iptables. Samo konfigurowanie reguł jest szybkie i wygodne, interfejs jest przejrzysty, pod warunkiem że z niego korzystamy. Narzekanie na regułki generowane przez nakładki to jak narzekanie assemblerowców na kod maszynowy jaki wypluwają kompilatory języków wysokiego poziomu. Może i mają rację, ale kogo to obchodzi, skoro prawie nikt tam nie zagląda (poza nawiedzonymi purystami i maniakami )

A skanować najlepiej nmapem swoje IP w sieci lokalnej - cholera wie co ISP robi z ruchem przychodzącym.

[jacekalex]

Assemblerowców?
Cóż takiego skomplikowanego jest w iptables, że trzeba stosować specjalne klikalne nakładki?
I po co nakładka na nakładkę? Iptables jest przecież nie firewalem tylko narzędziem przestrzeni użyszkodnika do konfiguracji firewalla wbudowanego w kernel, w postaci modułów netfiltera.
A każda nakładka na Iptables obcina jego faktyczne możliwości, czasem o 50, czasem o 80 a czasem o 90% względem oryginału.

I jeszcze jedno: dla miłośników klikania polecam Webmin - moduł Sieci >> Linux - firewall.
Też się klika, ale ustawiając regułki iptables, ma mniej więcej 50% możliwosci konfiguracyjnych iptables, nie licząc xtables-addons.
W każdym razie na początek wystarcza.

Pozdrawiam

[mistrz1]

Co dokładnie robi reguła DROP?

[above]

Co dokładnie robi reguła DROP?

Odrzuca pakiet i nie wysyła do nadawcy komunikatu o błędzie. REJECT też odrzuca z tym, że wysyła komunikat o błędzie.

I jeszcze jedno: dla miłośników klikania polecam Webmin - moduł Sieci >> Linux - firewall.
Też się klika, ale ustawiając regułki iptables, ma mniej więcej 50% możliwosci konfiguracyjnych iptables, nie licząc xtables-addons.
W każdym razie na początek wystarcza.

Na początek wystarcza? Tzn., że taka skromnie spersonalizowana zapora nie wystarcza? Co mogę chcieć więcej poza całkowitym DROP dla INCOMING? Chyba, że o serwerowcach wspominałeś (?)

Jacek...co do iptables - S to mam jeszcze takie coś:

Kod: Zaznacz cały

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o lo -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Jeszcze nie personalizowałem

Pozdr.

[jacekalex]

FORWARD przez lo - czyli localhosta - nie czaję po co to.
Forward się robi przez interfejs WAN - łączący z internetem, razem z maskaradą, żeby wypuścić połączenia np z Virtualboxa (interfejs vboxnet*), albo jak się podłącza drugie urządzenie, do kompa, i udostępnia mu net.
Maskaradę ustawia się w tablicy nat tak:

Kod: Zaznacz cały

iptables -t nat -A POSTROUTING -o eth0  -j MASQUERADE

gdzie eth0 to przykładowy interfejs WAN.

Poza tym ustawienia są prawidłowe.

Pozdrawiam

[above]

FORWARD przez lo - czyli localhosta - nie czaję po co to.

A co robi ta reguła bo nie mogę się doczytać i zinterpretować poprawnie tego co wyczytałem: -A INPUT -i lo -j ACCEPT
Ogólnie to ja nie jestem za NATem tak więc chyba usunę jeszcze te może co?
-A FORWARD -o lo -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Najchętniej zostawiłbym tak:

Kod: Zaznacz cały

iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT 
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

Będzie dobrze?

Ogólnie to kwestia rozstrzygnięta jak jeszcze dowiem się co do powyższego. Powinno mi to starczyć Teraz jeszcze dowiem się jak tunelować połączenie żebym nie był skanowany pod kątem jakichś ustalonych przez służby i dostawcę słów kluczowych i będzie gitara. A nie, że napiszę słowo bomba i zaraz jestem odhaczony w specjalnym systemie nasłuchu.

Pozdr.