Skanowanie portow

[pitu120]

Witam

Mam pytanie jak w ubuntu 7.04 deskop zablokować dostęp do serwera dla danego porta, ponieważ został mi zablokowany serwer na tym systemie z powodu skanowania portów, i w mailu dostałem:

2008-10-31 20:40:11 2008-10-31 20:40:11 mojeip:26967 ipmaszynyktorasaknuje:22

Tak więc chciałbym zablokować port 26967.

Pozdrawiam

[Noea]

Skanowanie na porcie 22 ?? Ocb w tym czemu CI zablokowali porty/usluge ?
Mozesz uzyc regul iptables aby wyselekcjonowac port ktory ma byc zablokowany.

[pitu120]

Serwer to Kimsufi na ubuntu 7.04 deskop, zablokowali mi dostep do ssh i NX, dali tylko jakis smieszny dostep do FTP, w mailu dostalem info ze ktos skanuje porty, kawalek z loga dalem w pierwszym poscie, we wszystkich logach skanowanie jest na port 26967 z portu 22. Napisalem aby dali mi dostep i ja sam sobie z tym bede dzialal, bo jedynie inne wyjscie to reinstall systemu, wczoraj juz przez to robilem reinstall ale dzisiaj znow sie to powtorzylo. Dlatego mam pytanie do was, jak zablokwac ten port 26967.

Pozdrawiam

[Noea]

Graficzne nakladki na iptables typu firestarter lub skrypt w iptables

[pitu120]

OK mam rozumiec ze w terminal mam wpisac:
iptables -A INPUT -p tcp --dport 26967 -j DROP

I zostanie zablokwany port TCP 26967 dobrze mysle?

Czy musze dograc tego iptables?

[Ruri]

dobrze myslisz. tylko musisz to odpalić z roota badz dodac gdzieś do startu. Bo co restart trzeba to powtórzyć. Albo użyć ufw (poszukaj o nim w czytelni), w sumie powinno wystarczyć by go włączyć (to nakładka na iptables):

Kod: Zaznacz cały

sudo ufw enable

[pitu120]

Dzieki za pomoc, mam jeszcze dwa troszke glupie pytania

Ktory port mam zablokowac 26967 czy 22 a drugie czy mam zablokowac TCP, UDP czy oba?

[Noea]

Blokujac 22 zablokujesz sobie SSH . Zablokuj sobie ten port 26967 tcp i udp - dla testu.

[pitu120]

Ledwo przeinstalowalem system, odeszlem na chwilke od kompa podchodze i znow mi zablokowali!!! Nie rozumiem o co tu chodzi :/

[Noea]

Popros admina o wyjasnienie co jest nie tak skoro nie skanujesz portow , masz moze wlaczonego jakiegos snifera (oprogramowanie do nasluchu sieci) ?

[pitu120]

To tak zainstalowałem firestarter, odblokowałem port 21, 1000, 22, 40420 bo ich używam, w zdarzeniach firewall pokazywał próby łączenia, ale maile ciągle przychodziły o skanowaniu innego portu, wchodzę w systemie do userów i grup, patrze a tam jakiś user SPAM, nie ma usera admin, nie moge usunąć usera spam bo pisze ze to admin :/ robie wlasnie reinstall systemu. Lecz nie wiem jak sobie z tym poradzić Ktoś mi się wbija na serwer a ten firewall nie pomaga.

[Noea]

Zaloz sobie filtering po mac i wylacz obsluge pakietow icmp beda wolne od pingowania i nasluchiwania .

[pitu120]

jak założyć "filtering po mac"? Bo wyłącznie odpowiedzi na ping i nasłuchiwanie wyłącza sie w firestarter.

[Noea]

mozesz dodac odpowiedni wpis w iptables aby akceptowal poaczenia tylko z tego danego adresu mac

[pitu120]

Hmm tylko po mac myślę, ze nie dało by rady zrobić, bo przecież mój komputer jest połączony przez router, a w ogóle mac nie jest chyba widoczny w sieci? Mogę się mylić

[Noea]

Adres mac jest zawsze widoczny w sieci , to identyfikuje urzadznia na switchach , dslamach czy ruterach dostawcy internetu.