Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Firewall op home server
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index Dutch
View previous topic :: View next topic  
Author Message
gondolin
Apprentice
Apprentice


Joined: 09 Apr 2003
Posts: 158

PostPosted: Tue Nov 01, 2005 7:51 pm    Post subject: Firewall op home server Reply with quote

Hoi,

ik ben juist klaar met m'n home server, ik heb de firewall opgezet zoals beschreven on de howto van gentoo-wiki maar een nmap op het externe ip adres toont open poorten, en dit zou eigenlijk niet mogen, aangezien ik alleen maar ESTABLISHED,RELATED aanvaard en al de rest block.
Wie heeft er advies


firewall:

# Flush all rules
iptables -F; iptables -t nat -F; iptables -t mangle -F

## Internal to External rules
# Enable masquerading to allow LAN internet access
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
# Forward LAN traffic from eth0 to internet interface eth1
iptables -I FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

## Incomming rules
# Allow only existing connections
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allow only NEW from the internal network
iptables -A INPUT -m state --state NEW -i ! eth1 -j ACCEPT

# Drop all the rest
iptables -P INPUT DROP

de output van nmap

Starting nmap 3.83.DC13 ( http://www.insecure.org/nmap/ ) at 2005-11-01 20:40 CET
Initiating Connect() Scan against dD5E0303D.access.telenet.be (XXX.XXX.XXX.XXX) [1667 ports] at 20:40
Discovered open port 25/tcp on XXX.XXX.XXX.XXX
Discovered open port 8000/tcp on XXX.XXX.XXX.XXX
Discovered open port 111/tcp on XXX.XXX.XXX.XXX
Discovered open port 3306/tcp on XXX.XXX.XXX.XXX
Discovered open port 631/tcp on XXX.XXX.XXX.XXX
Discovered open port 143/tcp on XXX.XXX.XXX.XXX
Discovered open port 8080/tcp on XXX.XXX.XXX.XXX
The Connect() Scan took 0.16s to scan 1667 total ports.
Host dD5E0303D.access.telenet.be (XXX.XXX.XXX.XXX) appears to be up ... good.
Interesting ports on dD5E0303D.access.telenet.be (XXX.XXX.XXX.XXX):
(The 1660 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
25/tcp open smtp
111/tcp open rpcbind
143/tcp open imap
631/tcp open ipp
3306/tcp open mysql
8000/tcp open http-alt
8080/tcp open http-proxy

Nmap finished: 1 IP address (1 host up) scanned in 0.303 seconds
Back to top
View user's profile Send private message
Rainmaker
Veteran
Veteran


Joined: 12 Feb 2004
Posts: 1650
Location: /home/NL/ehv/

PostPosted: Wed Nov 02, 2005 3:14 am    Post subject: Reply with quote

Misschien dat ie uitstaat hoor maar:

Code:
Medusa% nmap xxx.access.telenet.be

Starting nmap 3.93 ( http://www.insecure.org/nmap/ ) at 2005-11-02 04:05 CET
Note: Host seems down. If it is really up, but blocking our ping probes, try -P0
Nmap finished: 1 IP address (0 hosts up) scanned in 4.014 seconds
Medusa% nmap xxx.access.telenet.be -P0

Starting nmap 3.93 ( http://www.insecure.org/nmap/ ) at 2005-11-02 04:05 CET
All 1668 scanned ports on xxx.access.telenet.be (213.xxx.xx.xx) are: filtered

Nmap finished: 1 IP address (1 host up) scanned in 345.241 seconds


BTW. je IP niet posten, maar je hostname wel is niet echt effectief :P

En trouwens, is toch een goeie firewall? Wat maakt het dan uit als iedereen je IP heeft? :)
_________________
If you can't dazzle them with brilliance, baffle them with bullshit.
Back to top
View user's profile Send private message
spufi
Tux's lil' helper
Tux's lil' helper


Joined: 25 Apr 2002
Posts: 119
Location: Mechelen - Belgium

PostPosted: Wed Nov 02, 2005 7:25 am    Post subject: Reply with quote

Installeer portsentry naast je firewall, dan hoef je je geen zorgen te maken over die open poorten. Ze zullen er nog steeds zijn, maar pretty secure :)

PS: if you do, don't nmap yourself!!! ;)
Back to top
View user's profile Send private message
gondolin
Apprentice
Apprentice


Joined: 09 Apr 2003
Posts: 158

PostPosted: Wed Nov 02, 2005 7:54 am    Post subject: Reply with quote

Rainmaker,
Hij staat aan hoor, inderdaad ik had daar over gezien (hostname) stom ... :-(

spufi
Maar ik zal inderdaad portsentry ook installeren.

Iedereen bedankt.
Back to top
View user's profile Send private message
Rainmaker
Veteran
Veteran


Joined: 12 Feb 2004
Posts: 1650
Location: /home/NL/ehv/

PostPosted: Wed Nov 02, 2005 10:35 pm    Post subject: Reply with quote

maak inderdaad een uitzondering in je portsentry config voor lokale adressen.

Ook iets wat je nooit moet doen: via SSH een firewall instaleren, zeker niet op een headless setup :roll:
_________________
If you can't dazzle them with brilliance, baffle them with bullshit.
Back to top
View user's profile Send private message
spufi
Tux's lil' helper
Tux's lil' helper


Joined: 25 Apr 2002
Posts: 119
Location: Mechelen - Belgium

PostPosted: Thu Nov 03, 2005 9:06 am    Post subject: Reply with quote

Rainmaker wrote:
Ook iets wat je nooit moet doen: via SSH een firewall instaleren, zeker niet op een headless setup :roll:

Zoals ik ooit in m'n kruipkelder mocht kruipen opzoek naar m'n debian server toen 'k mezelf buitensloot door met 3 verschillende pc's portsentry te willen testen 8O :D
*boggles*

Sindsdien gebruik 'k een oude laptop als server, nooit meer zoeken naar een scherm & keyboard :p
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Dutch All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum