Re: skan portow

2003-05-08 Wątek Łukasz Szymański 
On Fri, May 09, 2003 at 02:37:48AM +0200, Michał Byrecki wrote:
> > > > mam filtr pakietow na iptables.
> > > > generalnie blokuje wszystko oprocz kilku portow,
> > > > na ktorych mam rozne uslugi(ssh,smtp,pop3,www),oraz tych na
> > > > ktorych nasluchuje portsentry.
> > > Nie bardzo rozumiem, odblokowujesz na firewallu jakieś porty oprócz
> > > tych używanych przez usługi? To przepis na firewall a'la ser
> > > szwajcarski? ;-)
> > no dobrze ale przeciez i tak na tych portach nic nie postawisz 
> > dopuki portsentry na nich nasluchuje...
> Ale w przypadku błędu w portsentry narażasz w ten sposób system :-)
> Dobra zasada jest taka, żeby nie udostępniać na zewnątrz nic, co nie
> jest konieczne. Nasłuchiwanie na dziwnych portach nie jest konieczne i
> nie widze uzasadnienia żey robić inaczej.

dziekuje za sprostowanie, teraz wiem ze nie byl zbyt dobry pomysl.
pozdr

szuman

Re: skan portow

2003-05-08 Wątek Łukasz Szymański 
On Thu, May 08, 2003 at 10:44:33PM +0200, Michał Byrecki wrote:
> On Thu, 8 May 2003 16:42:04 +0200
> Łukasz Szymański <[EMAIL PROTECTED]> wrote:
> 
> > mam filtr pakietow na iptables.
> > generalnie blokuje wszystko oprocz kilku portow,
> > na ktorych mam rozne uslugi(ssh,smtp,pop3,www),oraz tych na ktorych
> > nasluchuje portsentry.
> Nie bardzo rozumiem, odblokowujesz na firewallu jakieś porty oprócz tych
> używanych przez usługi? To przepis na firewall a'la ser szwajcarski? ;-)
no dobrze ale przeciez i tak na tych portach nic nie postawisz 
dopuki portsentry na nich nasluchuje...
pozdr

Re: skan portow

2003-05-08 Wątek Łukasz Szymański 
On Wed, May 07, 2003 at 10:33:15PM +0200, Bartosz Feński aka fEnIo wrote:
> On Wed, May 07, 2003 at 06:19:52PM +0200, Łukasz Szymański wrote:
> > > jak mozna za pomoca iptables zablokowac skanowanie portow maszyny?
> > do blokowania skanow mozesz uzyc portsentry. 
> > tylko musisz otworzyc na firewallu porty na ktorych nasluchuje.
> Dobrze od czasu do czasu zobaczyć zabawne wypowiedzi ;)
> 
> pozdr,
> fEnIo
a mozesz napisac co jest takie zabawne?
mozliwe ze zle rozumuje... 

mam filtr pakietow na iptables.
generalnie blokuje wszystko oprocz kilku portow,
na ktorych mam rozne uslugi(ssh,smtp,pop3,www),oraz tych na ktorych nasluchuje 
portsentry.
aby uchronic sie przed skanowaniem portow zrobilem take cos:

portsentry.conf:

[...]
TCP_PORTS="1,11,15,111,143,540,1243,1524,3128,8080,12345,12346,32773,49724,54320"
UDP_PORTS="1,7,9,69,161,162,513,640,700,32770,32771,32772,32773,32774,54321"

[...]
KILL_ROUTE="/sbin/iptables -I dropped -s $TARGET$ -j DROP"

[...] 



rc.firewall:

[...]
TCP_PORTS="1,11,15,111,143,540,1243,1524,3128,8080,12345,12346,32773,49724,54320"
UDP_PORTS="1,7,9,69,161,162,513,640,700,32770,32771,32772,32773,32774,54321"

[...]

$IPT -t filter -A blocked_tcp_ports -p tcp -s 0/0 -m multiport \
 --destination-ports $TCP_PORTS -j ACCEPT

$IPT -t filter -A blocked_udp_ports -p udp -s 0/0 -m multiport \
 --destination-ports $UDP_PORTS -j ACCEPT

[...]

$IPT -t filter -A INPUT -p tcp -j dropped

$IPT -t filter -A INPUT -p tcp -j blocked_tcp_ports

$IPT -t filter -A INPUT -p udp -j blocked_udp_ports

[...]

jak widac skany sa udaremniane za pomoca iptables, chocaz 
regulki dodaje portsentry.
wydaje mi sie ze jest to dobry sposob na wykrywanie prob skanowania, 
ale jesli sie myle to prosZe o korekte.
pozdr 
szuman

Re: skan portow

2003-05-07 Wątek Łukasz Szymański 
On Wed, May 07, 2003 at 02:59:44PM +0200, Maciej Bobrowski wrote:
> 
> czesc,
> 
> jak mozna za pomoca iptables zablokowac skanowanie portow maszyny?
> 
> Pz,
> Maciej
do blokowania skanow mozesz uzyc portsentry. 
tylko musisz otworzyc na firewallu porty na ktorych nasluchuje.
pozdr

szuman

sterowanie przepływem ruchu

2003-03-25 Wątek Łukasz Szymański 
witam!
właśnie przymierzam się do zrobienia kolejkowania na kompie który jest
bramą między moją siecią wew i internetem. chodzi mi o to, że chciałbym 
mieć ustawione priorytety tak, ze określony typ ruchu (np.ssh,telnet) 
ma bezwzględne pierszeństwo przed innym ruchem (dc,ftp).
mam łącze 128kb/s. zastanawia mnie jedna rzecz... czy wydzielać część
łącza na określony typ ruchu np. przy pomocy CBQ lub HTB, czy może 
wystarczy że będe kierował ruchem  za pomocą kolejki PRIO?
generalnie nie chciałbym nikomu nic obcinać ale nie jestem pewien czy 
sterowanie ruchem na podstawie priorytetów wystarczy?
pozdr
szuman