portas abertas no micro< como fecha-las?

Emerson Freitas · 09-11-2003, 17:07

galera acabei de fazer o teste o dr.controle e ele diz que eu tenho a porta 21, 80 e 139 aberta, como deixar essas portas abertas para minha rede e não para a internet inteira

MattMurdock · 09-11-2003, 17:50

Qual sua distro cara ? No Slack vc pode alterar os scripts que ficam em /etc/rc.d e/ou usar o iptables p/ bloquear tais portas

NAKED_DEXTER · 09-11-2003, 17:58

bom vai la minha contribuição

seguinte para bloquear somente para a internet primeir voce precisa descobrir qual a sua interface com a intenet discada é ppp0 velox e afins e alguma ethX X éo número digita ifconfig e descubra ae,

iptables -A INPUT -i XXX -t tcp --dport YYY -j DROP

onde XXX é a interface com a rede e YYY é o numero da porta TCP.
mas eu faço o seguinte

fecho todas as portas ate 3200 em ppp0
seguinte

iptables -A INPUT -i ppp0 -t tcp --dport :3200 -j DROP
assim fica para voce mais para min é diferente pois minha politica da chain input é drop

se a sua politica for drop que recomendo voce tera que fazer o seguinte

iptables -A INPUT -i ppp0 -t tcp --dport 3200:65535 -j ACCEPT

bom se voce utilizar a politica de drop vai ter que usar mais dois comandos
liberar acesso na porta 53 udp somente dos destinos do seu provedor!

iptables -A INPUT -i ppp0 -t udp --dport 53 -s XXX -j ACCEPT
iptables -A INPUT -i ppp0 -t udp --dport 53 -s YYY -j ACCEPT

onde XXX é o ip da máquina dns primária do seu provedor
e YYY adivinha????

qualquer duvida posta ae .....

Emerson Freitas · 09-11-2003, 18:24

so com esse comando eu ja resolveria meu problema
iptables -A INPUT -i ppp0 -t tcp --dport :3200 -j DROP

NAKED_DEXTER · 09-11-2003, 18:35

ue isso é um teste? ou voce tava pedindo ajuda?

Emerson Freitas · 09-11-2003, 18:47

não e nada de teste, olha o resultado do teste que eu fiz
eu quero deixa-las fechadas para a internet, por isso perguntei se so esse comando resolveria
Diagnóstico das portas verificadas

porta 21/TCP (FTP) -> porta aberta

Existe um servidor FTP ativo nesta porta.
A resposta desta porta foi:
220 ProFTPD 1.2.7 Server (ProFTPD Default Installation) [Micro01]

Um servidor de FTP (File Transfer Protocol) tem como
função principal, o armazenamento de arquivos para downloads. É também
através deste serviço que é feita a administração remota de web sites.
O ataque mais comum nesta porta é de hackers / crackers procurando
por uma forma de acesso anônimo. Existem servidores de FTP que
contém diretórios que podem ser gravados e lidos, permitindo dessa forma,
que hackers / crackers usem estas máquinas como um ponto de
transferência de programas piratas (warez).

porta 23/TCP (Telnet) -> porta fechada
Esta porta está fechada ou inativa.

porta 25/TCP (SMTP) -> porta fechada
Esta porta está fechada ou inativa.

porta 80/TCP (HTTP) -> porta aberta

Existe um servidor Web ativo nesta porta.
A resposta desta porta foi:
Apache-AdvancedExtranetServer/2.0.44 (Mandrake Linux/11mdk) mod_perl/1.99_08 Perl/v5.8.0 mod_ssl/2.0.44 OpenSSL/0.9.7a PHP/4.3.1
A porta 80 é a porta padrão na qual browsers (ex:
Internet Explorer, Netscape, etc.), comunicam-se com servidores web. Se esta
porta estiver ativa (aberta), você provavelmente tem um serviço de
servidor web habilitado nesta porta.

porta 110/TCP (POP3) -> porta fechada
Esta porta está fechada ou inativa.

porta 139/TCP (NETBIOS) -> porta aberta

O serviço NetBIOS Session parece estar ativo nesta porta.
Se você usa o sistema operacional Windows® neste microcomputador e
mantém habilitado os recursos de compartilhamento de arquivos e impressora,
sua conexão poderá ser invadida a qualquer momento.
Esta pode ser classificada como uma falha de segurança
primária, além de possuir um dos maiores fatores de incidência. Outro
tipo de ataque muito comum na porta NetBIOS/139 é conhecido como
ataque nuke, OOB (Out of Band), ou tela azul da morte.
A execução do Windows será congelada, aparecendo uma tela azul com uma mensagem
de erro tipo Fatal exception 0E at 0028:<endereço> in VxD MSTCP(01) + 000041AE, sendo
necessário reiniciar o computador.

porta 1214/TCP (KaZaA) -> porta fechada
Esta porta está fechada ou inativa.

porta 5190/TCP (ICQ) -> porta fechada
Esta porta está fechada ou inativa.

porta 5000/TCP (UPnP) -> porta fechada
Esta porta está fechada ou inativa.

O Dr.ControleNet® finalizou com sucesso o diagnóstico das 9 portas verificadas.
Diagnóstico do número IP 200.191.129.154 foi realizado em 86 segundos.
Data: Dom 09/Nov/2003 16:00:07 hs
Nome do domínio: 200191129154-dial-user-ECP.acessonet.com.br
Browser do usuário: Mozilla/5.0 (compatible; Konqueror/3.1; Linux)
Consulte acima a situação de cada uma das portas testadas pelo Dr.ControleNet®.

foram encontradas 3 portas abertas.
foram encontradas 6 portas fechadas.

FMC · 09-11-2003, 19:50

Citação:

Postado Originalmente por NAKED_DEXTER

bom vai la minha contribuição

seguinte para bloquear somente para a internet primeir voce precisa descobrir qual a...

Como muda a politica padrão pra drop?

Vlw!

NAKED_DEXTER · 09-11-2003, 19:57

iptables -P INPUT ACCEPT/DROP
iptables -P OUTPUT ACCEPT/DROP

Gafanhootoo · 09-11-2003, 20:38

Estranho este Dr.Controle
Acusou somente 1 porta aberta e ativa, sendo que sabidamente tenho 4, para o nmap existem 4 abertas também.

ag_andrade · 10-11-2003, 8:58

Eu sei que não tem muita a ver com a pergunta mais eu vou postar como forma de ajuda ae pro pessoal do forum
Esse comando serve para ver o serviço que está executando a porta

fuser -v porta/tcp

Após isso você pode fazer um regra para bloquiar essa porta, ou derrubá-la . Fica a seu critério ... 8)

Um abraço

FMC · 10-11-2003, 16:29

Citação:

Postado Originalmente por NAKED_DEXTER

bom vai la minha contribuição

seguinte para bloquear somente para a internet primeir voce precisa descobrir qual a...

iptables -A INPUT -i ppp0 -t tcp --dport :3200 -j DROP

Essa linha não funcionou, ele não reconhece o comando:
Unknown arg `--dport'

Isso é normal ou será que eu fiz alguma besteira?

NAKED_DEXTER · 10-11-2003, 18:55

ops foi mal digitei uma letra errada a t é p t referese a tabela e quis quiser protocolo fica assim agora
era
iptables -A INPUT -i ppp0 -t tcp --dport :3200 -j DROP
fica
iptables -A INPUT -i ppp0 -p tcp --dport :3200 -j DROP

FMC · 10-11-2003, 20:36

Citação:

Postado Originalmente por NAKED_DEXTER

ops foi mal digitei uma letra errada a t é p t referese a tabela e quis quiser protocolo fica assim agora
era
ipta...

To ficando com raiva dessa coisa, não há o que eu faça que feche as portas aqui, eu executei esses comandos que vc passou (com a correção agora) e quando uso o nmapfe (aquele do KDE) ele continua mostrando um monte de porta aberta... inclusive a 21 não sei pq raios já que não tenho nenhum server ftp nem nada similar rodando aqui!

Alguma idéia do que pode estar causando tamanha teimosia?

Flw, valeu!

FMC · 10-11-2003, 20:39

Bem, o fuser me indicou que quem está usando a porta 21 é o inetd... mas pq raios ele tá com a porta aberta, agora to perdido mesmo!

NAKED_DEXTER · 10-11-2003, 22:47

2 coisas a verificar

o serviço é ativado no boot?

qual é a topologia do seu firewall se for isolado nã for da sua mesma máqwuina que voce usa voce deve usar nao INPUT na chain e sim FORWARD coloquei essa regra caso fosse o firewall a mesma máquina que voce usa

se nao for use
iptables -A FORWARD .....

ok
qualquer duvida estamos aqui
essa é a função do forum ajudar e ser ajudado...
fui.

FMC · 10-11-2003, 23:38

Citação:

Postado Originalmente por NAKED_DEXTER

2 coisas a verificar

o serviço é ativado no boot?

qual é a topologia do seu firewall se for isolado nã for da ...

Sim, o rc.inet1 é executado logo no boot... esse serviço é importante, não é!? Tem que deixar ele ativo, correto?

Bem, não consegui bloquear tudo aqui, na verdade consegui, bloqueei tudo mesmo, nem conseguia pingar o LO! haha
Olha a regra que criei:

#bin/bash
#Pra tornar a regra padrão o DROP:
iptables -P INPUT DROP
iptables -P OUTPUT DROP

#Pra aceitar as coisas que vem da porta 3200 até a 65535 em eth0
iptables -A INPUT -i eth0 -p tcp --dport 3200:65535 -j ACCEPT

#Pra liberar os DNSs... essa parte nào entendi bem pra que serve! haha
iptables -A INPUT -i eth0 -p udp --dport 53 -s 200.204.0.10 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 53 -s 200.204.0.138 -j ACCEPT

Enfim... quando executo isso a coisa para como um todo aqui!

Fiquei imaginando, tá tudo bloqueado, então eu teria que ir liberando porta-por-porta pra conseguir navegar, certo? mas ai as portas vão ficar abertas do mesmo jeito? sei lá, acabai boiando!

Ah, minha própria máquina é o firewall e tal!

Valeu!

FMC · 10-11-2003, 23:42

Citação:

Postado Originalmente por FMC

Sim, o rc.inet1 é executado logo no boot... esse serviço é importante, não é!? Tem que deixar ele ativo, correto?

...

Já mandei o inetd pro espaço, esquece... confundi tudo!

A porta 21 já está fechada, agora só resta a duvida de fechar tudo e tal!

Valeu... desculpa a pentelhação, é que eu to fazendo mesmo o que vc tá dizendo! hehe

Flw!

MattMurdock · 11-11-2003, 5:37

Citação:

Postado Originalmente por Gafanhootoo

Estranho este Dr.Controle
Acusou somente 1 porta aberta e ativa, sendo que sabidamente tenho 4, para o nmap existem ...

O script do dr.controle.net é muito limitado, pegue os testes on lines desses sites também:
http://www.auditmypc.com/
http://scan.sygate.com/prestealthscan.html (esse tem vários testes também, mas duvido da veracidade dos testes)
Se alguém souber de um bom ...

NAKED_DEXTER · 11-11-2003, 13:12

bom meu filho o dns serve para quando voce digita www.google.com.br voce nao acessar o google.com.br ele ta num servidor que é acessado por ip dns é uma tabela que tem os endereços "humanos" correspondentes os endereços ip
por exemplo não é preciso voce liberar o dns mas em vez de digitar a url no browser voce deve digitar o ip ruim não entao
a porta 53 udp é que cuida disso
outra coisa mil desculpas digitei errado denovo eu digitei isso de cabeça e nao testei desculpe

iptables -A INPUT -i eth0 -p udp --dport 53 -s 200.204.0.138 -j ACCEPT

é so voce tirar o -p udp --dport 53 porque ele nao usa somente a porta 53....

voce nao conseguiu pingar o looback pois o ping usa o protocolo icmp e nao o tcp ou udp e bom voce deixar o protocolo
icmp desativado isso é bom somente para os hacker para descobrir a topologia da sua rede e fazer ping of death e demais
voce nao precisa disso, alias se voce deixar isso desativado muitos scanners de portas vai ter dificuldades em te scannear..

qualquer coisa posta....

MattMurdock · 11-11-2003, 17:15

Citação:

Postado Originalmente por NAKED_DEXTER

bom meu filho o dns serve para quando voce digita www.google.com.br voce nao acessar o google.com.br ele ta num servi...

Como eu desabilito o icmp cara ? Isto é uma dúvida minha também

09-11-2003, 17:07	#1 (permalink)
Emerson Freitas Highlander Registrado em: Jul 2001 Idade: 39 Mensagens: 11.869 Reputação: 81	portas abertas no micro< como fecha-las? galera acabei de fazer o teste o dr.controle e ele diz que eu tenho a porta 21, 80 e 139 aberta, como deixar essas portas abertas para minha rede e não para a internet inteira

09-11-2003, 17:50	#2 (permalink)
MattMurdock GeeK Registrado em: Oct 2002 Localização: Curitiba - PR Mensagens: 2.162 Reputação: 22	Qual sua distro cara ? No Slack vc pode alterar os scripts que ficam em /etc/rc.d e/ou usar o iptables p/ bloquear tais portas __________________ Xiitas - o mal da comunidade Iniciantes, leiam! Qual Linux p/ mim? Qual o melhor?

09-11-2003, 17:58	#3 (permalink)
NAKED_DEXTER Novo Membro Registrado em: Nov 2003 Localização: Belo Horizonte Mensagens: 114 Reputação: 18	bom vai la minha contribuição seguinte para bloquear somente para a internet primeir voce precisa descobrir qual a sua interface com a intenet discada é ppp0 velox e afins e alguma ethX X éo número digita ifconfig e descubra ae, iptables -A INPUT -i XXX -t tcp --dport YYY -j DROP onde XXX é a interface com a rede e YYY é o numero da porta TCP. mas eu faço o seguinte fecho todas as portas ate 3200 em ppp0 seguinte iptables -A INPUT -i ppp0 -t tcp --dport :3200 -j DROP assim fica para voce mais para min é diferente pois minha politica da chain input é drop se a sua politica for drop que recomendo voce tera que fazer o seguinte iptables -A INPUT -i ppp0 -t tcp --dport 3200:65535 -j ACCEPT bom se voce utilizar a politica de drop vai ter que usar mais dois comandos liberar acesso na porta 53 udp somente dos destinos do seu provedor! iptables -A INPUT -i ppp0 -t udp --dport 53 -s XXX -j ACCEPT iptables -A INPUT -i ppp0 -t udp --dport 53 -s YYY -j ACCEPT onde XXX é o ip da máquina dns primária do seu provedor e YYY adivinha???? qualquer duvida posta ae ..... __________________ Atenciosamente; Fernando; fernando@fernandobhz.net http://fernandobhz.net UIN: 78355064

09-11-2003, 18:35	#5 (permalink)
NAKED_DEXTER Novo Membro Registrado em: Nov 2003 Localização: Belo Horizonte Mensagens: 114 Reputação: 18	ue isso é um teste? ou voce tava pedindo ajuda? __________________ Atenciosamente; Fernando; fernando@fernandobhz.net http://fernandobhz.net UIN: 78355064

09-11-2003, 19:57	#8 (permalink)
NAKED_DEXTER Novo Membro Registrado em: Nov 2003 Localização: Belo Horizonte Mensagens: 114 Reputação: 18	iptables -P INPUT ACCEPT/DROP iptables -P OUTPUT ACCEPT/DROP __________________ Atenciosamente; Fernando; fernando@fernandobhz.net http://fernandobhz.net UIN: 78355064

		FórumGdH > GNU-Linux, FreeBSD e Software Livre > Outros Assuntos GNU-Linux, FreeBSD e Software Livre
portas abertas no micro< como fecha-las?

1. como dar scan de portas abertas no meu micro?
Mais resultados? Use nossa pesquisa.

09-11-2003, 18:24	#4 (permalink)
Emerson Freitas Highlander Registrado em: Jul 2001 Idade: 39 Mensagens: 11.869 Reputação: 81	so com esse comando eu ja resolveria meu problema iptables -A INPUT -i ppp0 -t tcp --dport :3200 -j DROP

09-11-2003, 18:47	#6 (permalink)
Emerson Freitas Highlander Registrado em: Jul 2001 Idade: 39 Mensagens: 11.869 Reputação: 81	não e nada de teste, olha o resultado do teste que eu fiz eu quero deixa-las fechadas para a internet, por isso perguntei se so esse comando resolveria Diagnóstico das portas verificadas porta 21/TCP (FTP) -> porta aberta Existe um servidor FTP ativo nesta porta. A resposta desta porta foi: 220 ProFTPD 1.2.7 Server (ProFTPD Default Installation) [Micro01] Um servidor de FTP (File Transfer Protocol) tem como função principal, o armazenamento de arquivos para downloads. É também através deste serviço que é feita a administração remota de web sites. O ataque mais comum nesta porta é de hackers / crackers procurando por uma forma de acesso anônimo. Existem servidores de FTP que contém diretórios que podem ser gravados e lidos, permitindo dessa forma, que hackers / crackers usem estas máquinas como um ponto de transferência de programas piratas (warez). porta 23/TCP (Telnet) -> porta fechada Esta porta está fechada ou inativa. porta 25/TCP (SMTP) -> porta fechada Esta porta está fechada ou inativa. porta 80/TCP (HTTP) -> porta aberta Existe um servidor Web ativo nesta porta. A resposta desta porta foi: Apache-AdvancedExtranetServer/2.0.44 (Mandrake Linux/11mdk) mod_perl/1.99_08 Perl/v5.8.0 mod_ssl/2.0.44 OpenSSL/0.9.7a PHP/4.3.1 A porta 80 é a porta padrão na qual browsers (ex: Internet Explorer, Netscape, etc.), comunicam-se com servidores web. Se esta porta estiver ativa (aberta), você provavelmente tem um serviço de servidor web habilitado nesta porta. porta 110/TCP (POP3) -> porta fechada Esta porta está fechada ou inativa. porta 139/TCP (NETBIOS) -> porta aberta O serviço NetBIOS Session parece estar ativo nesta porta. Se você usa o sistema operacional Windows® neste microcomputador e mantém habilitado os recursos de compartilhamento de arquivos e impressora, sua conexão poderá ser invadida a qualquer momento. Esta pode ser classificada como uma falha de segurança primária, além de possuir um dos maiores fatores de incidência. Outro tipo de ataque muito comum na porta NetBIOS/139 é conhecido como ataque nuke, OOB (Out of Band), ou tela azul da morte. A execução do Windows será congelada, aparecendo uma tela azul com uma mensagem de erro tipo Fatal exception 0E at 0028:<endereço> in VxD MSTCP(01) + 000041AE, sendo necessário reiniciar o computador. porta 1214/TCP (KaZaA) -> porta fechada Esta porta está fechada ou inativa. porta 5190/TCP (ICQ) -> porta fechada Esta porta está fechada ou inativa. porta 5000/TCP (UPnP) -> porta fechada Esta porta está fechada ou inativa. O Dr.ControleNet® finalizou com sucesso o diagnóstico das 9 portas verificadas. Diagnóstico do número IP 200.191.129.154 foi realizado em 86 segundos. Data: Dom 09/Nov/2003 16:00:07 hs Nome do domínio: 200191129154-dial-user-ECP.acessonet.com.br Browser do usuário: Mozilla/5.0 (compatible; Konqueror/3.1; Linux) Consulte acima a situação de cada uma das portas testadas pelo Dr.ControleNet®. foram encontradas 3 portas abertas. foram encontradas 6 portas fechadas.

09-11-2003, 20:38	#9 (permalink)
Gafanhootoo Super Participante Registrado em: May 2002 Localização: Londrina - Paraná Mensagens: 723 Reputação: 21	Estranho este Dr.Controle Acusou somente 1 porta aberta e ativa, sendo que sabidamente tenho 4, para o nmap existem 4 abertas também. __________________ ______________________________ Link Patrocinado: ### MECÂNICA QUÂNTICA ### *****by Gafanhootoo**** Lataria, Pintura, Auto-elétrica e Mecânica Geral. http://www.mecanicaquantica.com.br/ _______________________________

10-11-2003, 8:58	#10 (permalink)
ag_andrade Membro Senior Registrado em: Oct 2003 Localização: São Paulo Mensagens: 167 Reputação: 18	Como estão !?!? Eu sei que não tem muita a ver com a pergunta mais eu vou postar como forma de ajuda ae pro pessoal do forum Esse comando serve para ver o serviço que está executando a porta fuser -v porta/tcp Após isso você pode fazer um regra para bloquiar essa porta, ou derrubá-la . Fica a seu critério ... 8) Um abraço __________________ Alexandre Gonçalves de Andrade Adm. Redes Linux Debian Security and Vulnerabilities Linux CCNA CISCO Guarulhos - SP

10-11-2003, 18:55	#12 (permalink)
NAKED_DEXTER Novo Membro Registrado em: Nov 2003 Localização: Belo Horizonte Mensagens: 114 Reputação: 18	ops foi mal digitei uma letra errada a t é p t referese a tabela e quis quiser protocolo fica assim agora era iptables -A INPUT -i ppp0 -t tcp --dport :3200 -j DROP fica iptables -A INPUT -i ppp0 -p tcp --dport :3200 -j DROP __________________ Atenciosamente; Fernando; fernando@fernandobhz.net http://fernandobhz.net UIN: 78355064

10-11-2003, 20:39	#14 (permalink)
FMC Zumbi Registrado em: Apr 2002 Localização: São Paulo Capital Mensagens: 8.321 Reputação: 31	Bem, o fuser me indicou que quem está usando a porta 21 é o inetd... mas pq raios ele tá com a porta aberta, agora to perdido mesmo! __________________ FMC = Fábio Magalhães Catunda

10-11-2003, 22:47	#15 (permalink)
NAKED_DEXTER Novo Membro Registrado em: Nov 2003 Localização: Belo Horizonte Mensagens: 114 Reputação: 18	2 coisas a verificar o serviço é ativado no boot? qual é a topologia do seu firewall se for isolado nã for da sua mesma máqwuina que voce usa voce deve usar nao INPUT na chain e sim FORWARD coloquei essa regra caso fosse o firewall a mesma máquina que voce usa se nao for use iptables -A FORWARD ..... ok qualquer duvida estamos aqui essa é a função do forum ajudar e ser ajudado... fui. __________________ Atenciosamente; Fernando; fernando@fernandobhz.net http://fernandobhz.net UIN: 78355064

11-11-2003, 13:12	#19 (permalink)
NAKED_DEXTER Novo Membro Registrado em: Nov 2003 Localização: Belo Horizonte Mensagens: 114 Reputação: 18	bom meu filho o dns serve para quando voce digita www.google.com.br voce nao acessar o google.com.br ele ta num servidor que é acessado por ip dns é uma tabela que tem os endereços "humanos" correspondentes os endereços ip por exemplo não é preciso voce liberar o dns mas em vez de digitar a url no browser voce deve digitar o ip ruim não entao a porta 53 udp é que cuida disso outra coisa mil desculpas digitei errado denovo eu digitei isso de cabeça e nao testei desculpe iptables -A INPUT -i eth0 -p udp --dport 53 -s 200.204.0.138 -j ACCEPT é so voce tirar o -p udp --dport 53 porque ele nao usa somente a porta 53.... voce nao conseguiu pingar o looback pois o ping usa o protocolo icmp e nao o tcp ou udp e bom voce deixar o protocolo icmp desativado isso é bom somente para os hacker para descobrir a topologia da sua rede e fazer ping of death e demais voce nao precisa disso, alias se voce deixar isso desativado muitos scanners de portas vai ter dificuldades em te scannear.. qualquer coisa posta.... __________________ Atenciosamente; Fernando; fernando@fernandobhz.net http://fernandobhz.net UIN: 78355064

Opções do Tópico
Exibir Versão para Impressão Envie essa página por e-mail