Тест фаера Fedora на pcflank.com

[rishard]

Подредактировал правила iptables в Fedora 11 (использовал, в частности, генератор скрипта http://easyfwgen.morizot.net/gen/ ), после чего потестил полученное на pcflank.com . Результаты интересные - закрыто все, прохожу на ура все тесты (не только на pcflank, кстати), хост полностью stealth в сети... но за исключением четырех портов -

Warning!
The test found visible port(s) on your system: 135, 137, 138, 139

Скажите, это критично? я открывал только два других порта - для amule и ktorrents.

[Plague]

самба имеется на тачке, насколько я понимаю. ейные порты и открыты:
135 - DCOM
137 - NETBIOS Name Service
138 - NETBIOS Datagram Service
139 - NETBIOS Session Service
на внешку им конечно делать нечего. а локалке - это уже решать по желанию

[rishard]

Неа.... нету. Это домашняя машина с внешним статическим ip, локалки у меня нет.

[Plague]

если нет локалки - не значит что самбы на машине нет.

ps waux | grep mbd
что говорит? больше чем уверен что покажет щас что-то типа

Код:

root      3375  0.0  0.1   7220  1592 ?        Ss   14:07   0:00 /usr/sbin/nmbd -D
root      3377  0.0  0.3  12976  2880 ?        Ss   14:07   0:00 /usr/sbin/smbd -D
root      3397  0.0  0.1  12976   988 ?        S    14:07   0:00 /usr/sbin/smbd -D
root      3928  0.0  0.4  13320  3928 ?        S    18:45   0:03 /usr/sbin/smbd -D

а
netstat -anp | grep :13

Код:

tcp6       0      0 :::139                  :::*                    LISTEN      3377/smbd       
udp        0      0 192.168.1.21:137        0.0.0.0:*                           3375/nmbd       
udp        0      0 0.0.0.0:137             0.0.0.0:*                           3375/nmbd       
udp        0      0 192.168.1.21:138        0.0.0.0:*                           3375/nmbd       
udp        0      0 0.0.0.0:138             0.0.0.0:*                           3375/nmbd

[rishard]

[Aleksej@localhost ~]$ ps waux | grep mbd
Aleksej 15465 0.0 0.0 5176 772 pts/1 S+ 20:07 0:00 grep mbd

добавлено через 7 минут
Я прописал путь к новому скрипту iptables в /etc/rc.d/rc.local , а потом записал service iptables save. Какое значение имеет наличие или отсутствие самбы в системе? она же не пропишет сама для себя порты.

добавлено через 53 минуты
а
netstat -anp | grep :13
вообще ничего не поазывает.

[BorLase]

занятно

а что за модем? может, эти порты открыты на каком-нить интеллектуальном роутере? который и раздает услуги Win-сети?

[rishard]

хм.... пользуюсь интернетом от компании "ТвоеТВ", в качестве модема используется Arris Cm550 -
http://www.spb.tvoe.tv/services/home/internet/equipment
Повторюсь, внешний мой ip -
это адрес eth0 интерфейса на моей Федоре.
Скрипт сделал при помощи этого php скрипта - неплохая в принципе штука, во всяком случае - для домашнего компа.

P.S. Открыл для клиентов p2p 40000 и 40001 порты - все остальное, по идее, должно быть перекрыто; скрипт довольно известный и заслуженный.....

[Hubbitus]

Ну покажите правила:
iptables-save

[rishard]

Цитата:

Сообщение от Hubbitus

Ну покажите правила:
iptables-save

[root@localhost Aleksej]# iptables-save
# Generated by iptables-save v1.4.3.1 on Thu Nov 12 20:03:37 2009
*mangle
:PREROUTING ACCEPT [17625:6431834]
:INPUT ACCEPT [17624:6431499]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2768:601646]
:POSTROUTING ACCEPT [2788:605485]
COMMIT
# Completed on Thu Nov 12 20:03:37 2009
# Generated by iptables-save v1.4.3.1 on Thu Nov 12 20:03:37 2009
*nat
:PREROUTING ACCEPT [15040:5031865]
:POSTROUTING ACCEPT [456:29894]
:OUTPUT ACCEPT [456:29894]
COMMIT
# Completed on Thu Nov 12 20:03:37 2009
# Generated by iptables-save v1.4.3.1 on Thu Nov 12 20:03:37 2009
*filter
:INPUT DROP [25:4366]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:bad_packets - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_inbound - [0:0]
:tcp_outbound - [0:0]
:udp_inbound - [0:0]
:udp_outbound - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -j bad_packets
-A INPUT -d 224.0.0.1/32 -j DROP
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -j tcp_inbound
-A INPUT -i eth0 -p udp -j udp_inbound
-A INPUT -i eth0 -p icmp -j icmp_packets
-A INPUT -m pkttype --pkt-type broadcast -j DROP
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "INPUT packet died: "
-A OUTPUT -p icmp -m state --state INVALID -j DROP
-A OUTPUT -s 127.0.0.1/32 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "OUTPUT packet died: "
-A bad_packets -m state --state INVALID -j LOG --log-prefix "Invalid packet: "
-A bad_packets -m state --state INVALID -j DROP
-A bad_packets -p tcp -j bad_tcp_packets
-A bad_packets -j RETURN
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn: "
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A bad_tcp_packets -p tcp -j RETURN
-A icmp_packets -p icmp -f -j LOG --log-prefix "ICMP Fragment: "
-A icmp_packets -p icmp -f -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A icmp_packets -p icmp -j RETURN
-A tcp_inbound -p tcp -m tcp --dport 40000:40001 -j ACCEPT
-A tcp_inbound -p tcp -j RETURN
-A tcp_outbound -p tcp -j ACCEPT
-A udp_inbound -p udp -m udp --dport 137 -j DROP
-A udp_inbound -p udp -m udp --dport 138 -j DROP
-A udp_inbound -p udp -m udp --dport 40000:40001 -j ACCEPT
-A udp_inbound -p udp -j RETURN
-A udp_outbound -p udp -j ACCEPT
COMMIT
# Completed on Thu Nov 12 20:03:37 2009

добавлено через 2 минуты
21 stealthed FTP File Transfer Protocol is used to transfer files between computers
23 stealthed TELNET Telnet is used to remotely create a shell (dos prompt)
80 stealthed HTTP HTTP web services publish web pages
1080 stealthed SOCKS PROXY Socks Proxy is an internet proxy service
1243 stealthed SubSeven SubSeven is one of the most widespread trojans
3128 stealthed Masters Paradise and RingZero Trojan horses
12345 stealthed NetBus NetBus is one of the most widespread trojans
12348 stealthed BioNet BioNet is one of the most widespread trojan
27374 stealthed SubSeven SubSeven is one of the most widespread trojans
31337 stealthed Back Orifice Back Orifice is one of the most widespread trojans
135 closed RPC Remote Procedure Call (RPC) is used in client/server applications based on MS Windows operating systems
137 closed NETBIOS Name Service NetBios is used to share files through your Network Neighborhood
138 closed NETBIOS Datagram Service NetBios is used to share files through your Network Neighborhood
139 closed NETBIOS Session Service NetBios is used to share files through your Network Neighborhood

Почему closed, а не stealth ?

[Hubbitus]

Так нормально все, закрыты все-таки, а не открыты? Или что-то изменил?

[rishard]

Я и не говорил, что они открыты... смотри выше.

Warning!
The test found visible port(s) on your system: 135, 137, 138, 139

[Hubbitus]

Так closed а не opened... Они как тестят-то?

[rishard]

Я так понимаю, closed и stealhed отличаются так же как deny и drop.... нет? разве имеет значение - как тестить?

[Hubbitus]

На сколько я вижу они также дропаются как и остальные:
-A udp_inbound -p udp -m udp --dport 137 -j DROP
-A udp_inbound -p udp -m udp --dport 138 -j DROP

Так что значение как тестятся быть должно

[SinClaus]

udp дропаются, а по tcp правило странное:
-A tcp_inbound -p tcp -j RETURN

т.е. ВСЕ tcp пакеты пропускаются внутрь.

[Hubbitus]

SinClaus, да не, это просто возврат из цепочки, то есть если до сюда пекет дошел, то выходит.
По udp тоже самое же:

Код:

-A udp_inbound -p udp -j RETURN

[SinClaus]

По udp НЕ то же самое, вот цепочки целиком:

Код:

-A tcp_inbound -p tcp -m tcp --dport 40000:40001 -j ACCEPT
-A tcp_inbound -p tcp -j RETURN
......
-A udp_inbound -p udp -m udp --dport 137 -j DROP
-A udp_inbound -p udp -m udp --dport 138 -j DROP
-A udp_inbound -p udp -m udp --dport 40000:40001 -j ACCEPT
-A udp_inbound -p udp -j RETURN

т.е. по inbound_tcp нет ни дропов, ни игнорирования пакетов по портам.

[rishard]

40000-40001 порты по tcp/udp открыты мной.

[SinClaus]

А другие порты по TCP НИГДЕ НЕ БЛОКИРОВАНЫ. Если кто-то что-то слушает на машине по tcp, он услышит

[Hubbitus]

Цитата:

Сообщение от SinClaus

т.е. по inbound_tcp нет ни дропов, ни игнорирования пакетов по портам.

Да ну. Там же по дефолту дроп:
:INPUT DROP [25:4366]