[ubuntu-ar] [Bulk] Re: problema para cerrar puertos

Pablo Lillia pablofer72 at yahoo.com.ar
Tue Feb 17 21:53:21 GMT 2009 

El 17/02/2009 09:53, Lucas Cardoso escribió:
> On Tue, Feb 17, 2009 at 9:17 AM, Jose Maria Schenone
> <jomax en dotlinux.com.ar> wrote:
>> 2009/2/17 Lucas Cardoso <lucasecardoso en gmail.com>:
>>> 2009/2/17 sandro <caixero en gmail.com>:
>>>> hola me parece que no fui explicito, el que comparte la conexion a
>>>> internet es mi xubuntu y justamente lo que pregunto es como cierro el
>>>> 901 para que no se tenga acceso desde internet.
>>>> muchisimas gracias por interesarte
>>>>
>>> Entiendo...
>>>
>>> Me parece que lo más razonable es hacer un filtro por IP con iptables.
>>> O sea, que no cualquier paquete pueda entrar al puerto 901, sino sólo
>>> aquellos provenientes de una IP o un rango de IPs en particular
>>> (192.168.1.xxx por ej, depende de tu LAN).
>>>
>>> No recuerdo cómo hacer eso con iptables (no soy un experto en redes,
>>> como dije anteriormente), pero tiene que estar en la documentación.
>>>
>>>
>>> --
>>> Lucas Cardoso
>>>
>>> --
>>> Ubuntu-ar lista de correo
>>> Ubuntu-ar en lists.ubuntu.com
>>> Modifica tus opciones o desuscribite en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
>>> Siempre leer, comprender y aplicar nuestra etiqueta: https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML
>>>
>>>
>> Deberias poner algo asi, pero sino conocemos como tienes armada tu red
>> (interfaces conectadas, etc) es dificil.
>>
>> iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 901 -j DROP
>> iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 901 -j DROP
>>
>> Se mas claro y explica mejor cuantas placas de red tiene xubuntu,
>> recibe conexion a inet directamente, el scan lo hiciste desde afuera o
>> desde adentro?
>>
>> Salu2
>>
> 
> También podés DROPpear todos los paquetes que entren por el puerto 901
> en la interfaz que sale directamente a la red.
> 
> 
> 

Aparte de configurar IPTABLES, hay otra opción: configurar SWAT para que
solo "escuche" en localhost. Lo mejor es hacer ambas cosas ;)

Editá el archivo inetd.conf, con
	sudo gedit /etc/inetd.conf

Hay una línea que dice:

swat		stream	tcp	nowait.400	root	/usr/sbin/tcpd	/usr/sbin/swat

Agregale 127.0.0.1: justo antes de la primer palabra swat, para que
quede así:

127.0.0.1:swat		stream	tcp	nowait.400	root	/usr/sbin/tcpd	/usr/sbin/swat

Y reiniciá el servicio de SWAT:

	/etc/init.d/openbsd-inetd restart

Fijate antes y después en qué direcciones está escuchando con:
	netstat -nat | grep 901

Debería decirte que solo escucha en localhost: 127.0.0.1:901 (y antes
decía 0.0.0.0:901 que es todas las IPs locales)

Saludos,
Pablo

More information about the Ubuntu-ar mailing list