On Tue, Feb 3, 2009 at 11:45 PM, Marcelo Laia <marcelol...@gmail.com> wrote:
> Ola, > > Estou configurando algumas regras IPTABLES, com base no farto material > que encontrei na internet, e estou com umas duvidas. > > Eu peguei varios scripts e fui montando o meu. > Use os scripts como base, mas APRENDA iptables. Saiba o que você está fazendo ... Muita informação na internet está simplesmente errada ... Agora, estou com uma duvida, pois o modelo que estou seguindo diz para > usar a seguinte regra: > > # verificar os serviços em execuçao com o comando nmap localhost e > # nmap -sU localhost e habilita-los conforme abaixo > > iptables -A INPUT -p tcp -m multiport --dports > 21,22,80,111,113,139,445 -j ACCEPT > > iptables -A INPUT -p udp -m multiport --dports 111,137,138 -j ACCEPT > > No meu caso, os comandos acima retornaram: > > $ nmap localhost > > Starting Nmap 4.62 ( http://nmap.org ) at 2009-02-03 23:15 BRST > Interesting ports on localhost (127.0.0.1): > Not shown: 1708 closed ports > PORT STATE SERVICE > 25/tcp open smtp > 111/tcp open rpcbind > 139/tcp open netbios-ssn > 445/tcp open microsoft-ds > 631/tcp open ipp > 8118/tcp open privoxy > 9050/tcp open tor-socks > > $ sudo nmap -sU localhost > > Starting Nmap 4.62 ( http://nmap.org ) at 2009-02-03 23:17 BRST > Interesting ports on localhost (127.0.0.1): > Not shown: 1481 closed ports > PORT STATE SERVICE > 111/udp open|filtered rpcbind > 123/udp open|filtered ntp > 137/udp open|filtered netbios-ns > 138/udp open|filtered netbios-dgm > 631/udp open|filtered unknown > 858/udp open|filtered unknown > 5353/udp open|filtered zeroconf > > Trata-se do meu laptop, portanto, muitos desses servicos eu nao tenho, > mas alguns sim, tenho. > Se você executou o nmap no seu note e ele retornou isso, então vc tem todos esses serviços no notebook (talvez não saiba de alguns, mas estão todos lá ...) > > Que eu saiba, eu utilizo o Tor com FoxyProxy (complemento do Firefox) > e, acredito, o smtp, pois eu configurei o exim para enviar emails pelo > gmail (smarthost). > Quanto as portas, vamos lá: 111: portmap (vc utiliza NFS?) 123: NTP 137/138/139/445: samba 631: cups (sistema de impressão) 8118: privoxy 9050: tor 5353: zeroconf (configurações de rede) Desconheço o serviço da porta 858. Execute o comando fuser -vn udp 858 para descobrir qual o programa associado a essa porta. > No final, o script tem essa regra: > > iptables -A INPUT -p tcp --syn -j DROP > > Em sendo assim, pergunto: > > Terei que liberar todas aquelas portas la em cima? > Depende da configuração do resto do script. Talvez tenha de liberar nem que seja para localhost, ou algo vai quebrar ... > > Muito obrigado > De nada. > > -- > Marcelo Luiz de Laia > Jaboticabal - SP - Brazil > > -- Fabiano Pires LPIC-2 http://pragasdigitais.blogspot.com/ Livrando você da escória da Internet!