[ubuntu-ar] problemas para cerrar puertos
Pablo Lillia
pablofer72 at yahoo.com.ar
Wed Feb 18 21:28:09 GMT 2009
El 18/02/2009 07:34, sandro escribió:
>> ------------------------------------------------------------------------
>>
>> Asunto:
>> Re: [ubuntu-ar] problema para cerrar puertos
>> De:
>> Lucas Cardoso <lucasecardoso en gmail.com>
>> Fecha:
>> Tue, 17 Feb 2009 09:00:09 -0300
>> A:
>> Ubuntu User Group Argentina <ubuntu-ar en lists.ubuntu.com>
>>
>> A:
>> Ubuntu User Group Argentina <ubuntu-ar en lists.ubuntu.com>
>>
>>
>> 2009/2/17 sandro <caixero en gmail.com>:
>>
>>> hola me parece que no fui explicito, el que comparte la conexion a
>>> internet es mi xubuntu y justamente lo que pregunto es como cierro el
>>> 901 para que no se tenga acceso desde internet.
>>> muchisimas gracias por interesarte
>>>
>>>
>> Entiendo...
>>
>> Me parece que lo más razonable es hacer un filtro por IP con iptables.
>> O sea, que no cualquier paquete pueda entrar al puerto 901, sino sólo
>> aquellos provenientes de una IP o un rango de IPs en particular
>> (192.168.1.xxx por ej, depende de tu LAN).
>>
>> No recuerdo cómo hacer eso con iptables (no soy un experto en redes,
>> como dije anteriormente), pero tiene que estar en la documentación.
>>
>>
>>
>>
>> ------------------------------------------------------------------------
>>
>> Asunto:
>> Re: [ubuntu-ar] problema para cerrar puertos
>> De:
>> Jose Maria Schenone <jomax en dotlinux.com.ar>
>> Fecha:
>> Tue, 17 Feb 2009 10:17:09 -0200
>> A:
>> Ubuntu User Group Argentina <ubuntu-ar en lists.ubuntu.com>
>>
>> A:
>> Ubuntu User Group Argentina <ubuntu-ar en lists.ubuntu.com>
>>
>>
>> 2009/2/17 Lucas Cardoso <lucasecardoso en gmail.com>:
>>
>>> 2009/2/17 sandro <caixero en gmail.com>:
>>>
>>>> hola me parece que no fui explicito, el que comparte la conexion a
>>>> internet es mi xubuntu y justamente lo que pregunto es como cierro el
>>>> 901 para que no se tenga acceso desde internet.
>>>> muchisimas gracias por interesarte
>>>>
>>>>
>>> Entiendo...
>>>
>>> Me parece que lo más razonable es hacer un filtro por IP con iptables.
>>> O sea, que no cualquier paquete pueda entrar al puerto 901, sino sólo
>>> aquellos provenientes de una IP o un rango de IPs en particular
>>> (192.168.1.xxx por ej, depende de tu LAN).
>>>
>>> No recuerdo cómo hacer eso con iptables (no soy un experto en redes,
>>> como dije anteriormente), pero tiene que estar en la documentación.
>>>
>>>
>>> --
>>> Lucas Cardoso
>>>
>>> --
>>> Ubuntu-ar lista de correo
>>> Ubuntu-ar en lists.ubuntu.com
>>> Modifica tus opciones o desuscribite en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
>>> Siempre leer, comprender y aplicar nuestra etiqueta: https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML
>>>
>>>
>>>
>> Deberias poner algo asi, pero sino conocemos como tienes armada tu red
>> (interfaces conectadas, etc) es dificil.
>>
>> iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 901 -j DROP
>> iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 901 -j DROP
>>
>> Se mas claro y explica mejor cuantas placas de red tiene xubuntu,
>> recibe conexion a inet directamente, el scan lo hiciste desde afuera o
>> desde adentro?
>>
>> Salu2
>>
>>
>>
>> ------------------------------------------------------------------------
>>
>> Asunto:
>> Re: [ubuntu-ar] problema para cerrar puertos
>> De:
>> Mariano Mara <marplatense en ubuntu.com>
>> Fecha:
>> Tue, 17 Feb 2009 10:33:26 -0200
>> A:
>> Ubuntu User Group Argentina <ubuntu-ar en lists.ubuntu.com>
>>
>> A:
>> Ubuntu User Group Argentina <ubuntu-ar en lists.ubuntu.com>
>>
>>
>> On 17.02.09 09:00, Lucas Cardoso wrote:
>>
>>> 2009/2/17 sandro <caixero en gmail.com>:
>>>
>>>> hola me parece que no fui explicito, el que comparte la conexion a
>>>> internet es mi xubuntu y justamente lo que pregunto es como cierro el
>>>> 901 para que no se tenga acceso desde internet.
>>>> muchisimas gracias por interesarte
>>>>
>>>>
>>> Entiendo...
>>>
>>> Me parece que lo más razonable es hacer un filtro por IP con iptables.
>>> O sea, que no cualquier paquete pueda entrar al puerto 901, sino sólo
>>> aquellos provenientes de una IP o un rango de IPs en particular
>>> (192.168.1.xxx por ej, depende de tu LAN).
>>>
>>> No recuerdo cómo hacer eso con iptables (no soy un experto en redes,
>>> como dije anteriormente), pero tiene que estar en la documentación.
>>>
>>>
>>>
>> ¿Entendés inglés? Esta artículo es cortito pero te da un punto de
>> partida para tener algo hecho y además empezar a investigar.
>>
>> http://articles.slicehost.com/2008/11/28/ubuntu-intrepid-setup-page-1
>>
>>
>>
>>
>>
>>
>> ------------------------------------------------------------------------
>>
>> Asunto:
>> Re: [ubuntu-ar] problema para cerrar puertos
>> De:
>> Lucas Cardoso <lucasecardoso en gmail.com>
>> Fecha:
>> Tue, 17 Feb 2009 09:53:23 -0300
>> A:
>> Ubuntu User Group Argentina <ubuntu-ar en lists.ubuntu.com>
>>
>> A:
>> Ubuntu User Group Argentina <ubuntu-ar en lists.ubuntu.com>
>>
>>
>> On Tue, Feb 17, 2009 at 9:17 AM, Jose Maria Schenone
>> <jomax en dotlinux.com.ar> wrote:
>>
>>> 2009/2/17 Lucas Cardoso <lucasecardoso en gmail.com>:
>>>
>>>> 2009/2/17 sandro <caixero en gmail.com>:
>>>>
>>>>> hola me parece que no fui explicito, el que comparte la conexion a
>>>>> internet es mi xubuntu y justamente lo que pregunto es como cierro el
>>>>> 901 para que no se tenga acceso desde internet.
>>>>> muchisimas gracias por interesarte
>>>>>
>>>>>
>>>> Entiendo...
>>>>
>>>> Me parece que lo más razonable es hacer un filtro por IP con iptables.
>>>> O sea, que no cualquier paquete pueda entrar al puerto 901, sino sólo
>>>> aquellos provenientes de una IP o un rango de IPs en particular
>>>> (192.168.1.xxx por ej, depende de tu LAN).
>>>>
>>>> No recuerdo cómo hacer eso con iptables (no soy un experto en redes,
>>>> como dije anteriormente), pero tiene que estar en la documentación.
>>>>
>>>>
>>>> --
>>>> Lucas Cardoso
>>>>
>>>> --
>>>> Ubuntu-ar lista de correo
>>>> Ubuntu-ar en lists.ubuntu.com
>>>> Modifica tus opciones o desuscribite en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
>>>> Siempre leer, comprender y aplicar nuestra etiqueta: https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML
>>>>
>>>>
>>>>
>>> Deberias poner algo asi, pero sino conocemos como tienes armada tu red
>>> (interfaces conectadas, etc) es dificil.
>>>
>>> iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 901 -j DROP
>>> iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 901 -j DROP
>>>
>>> Se mas claro y explica mejor cuantas placas de red tiene xubuntu,
>>> recibe conexion a inet directamente, el scan lo hiciste desde afuera o
>>> desde adentro?
>>>
>>> Salu2
>>>
>>>
>> También podés DROPpear todos los paquetes que entren por el puerto 901
>> en la interfaz que sale directamente a la red.
>>
> Saludo a todos, primero que nada muchisimas gracias por vuestra ayuda,
> voy a ponerme a estudiar un poco de iptables sino me voy a la lona (esa
> es la voz que me sale de la cabeza al final de cada ayuda jajajajajaaj),
> apenas lo tengo solucionado les cuento que es al final lo que hice.
> para los que querian mas data aca les paso mi ifconfig asi ven
> acabadamente como esta configurada mi red
>
> eth0 Link encap:Ethernet direcciónHW 00:03:47:70:22:ad
> inet dirección:192.168.0.10 Difusión:192.168.0.255
> Máscara:255.255.255.0
> ARRIBA DIFUSIÓN MULTICAST MTU:1500 Métrica:1
> RX packets:0 errors:0 dropped:0 overruns:0 frame:0
> TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
> colisiones:0 txqueuelen:1000
> RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
>
> lo Link encap:Bucle local
> inet dirección:127.0.0.1 Máscara:255.0.0.0
> ARRIBA LOOPBACK CORRIENDO MTU:16436 Métrica:1
> RX packets:318 errors:0 dropped:0 overruns:0 frame:0
> TX packets:318 errors:0 dropped:0 overruns:0 carrier:0
> colisiones:0 txqueuelen:0
> RX bytes:23568 (23.0 KB) TX bytes:23568 (23.0 KB)
>
> nas0 Link encap:Ethernet direcciónHW 00:0e:50:e3:22:55
> inet dirección:192.168.0.1 Difusión:192.168.0.255
> Máscara:255.255.255.0
> ARRIBA DIFUSIÓN CORRIENDO MULTICAST MTU:1500 Métrica:1
> RX packets:2899 errors:0 dropped:0 overruns:0 frame:0
> TX packets:2833 errors:4 dropped:0 overruns:4 carrier:0
> colisiones:0 txqueuelen:1000
> RX bytes:2080965 (1.9 MB) TX bytes:553782 (540.8 KB)
>
> ppp0 Link encap:Protocolo punto a punto
> inet dirección:190.177.199.231 P-t-P:200.51.241.187
> Máscara:255.255.255.255
> ARRIBA PUNTO A PUNTO CORRIENDO NOARP MULTICAST MTU:1492
> Métrica:1
> RX packets:2845 errors:0 dropped:0 overruns:0 frame:0
> TX packets:2772 errors:0 dropped:0 overruns:0 carrier:0
> colisiones:0 txqueuelen:3
> RX bytes:2056101 (1.9 MB) TX bytes:462557 (451.7 KB)
>
>> Asunto:
>> Re: [ubuntu-ar] [Bulk] Re: problema para cerrar puertos
>> De:
>> Pablo Lillia <pablofer72 en yahoo.com.ar>
>> Fecha:
>> Tue, 17 Feb 2009 18:53:21 -0300
>> A:
>> Ubuntu User Group Argentina <ubuntu-ar en lists.ubuntu.com>
>>
>> A:
>> Ubuntu User Group Argentina <ubuntu-ar en lists.ubuntu.com>
>>
>>
>> El 17/02/2009 09:53, Lucas Cardoso escribió:
>>
>>> On Tue, Feb 17, 2009 at 9:17 AM, Jose Maria Schenone
>>> <jomax en dotlinux.com.ar> wrote:
>>>
>>>> 2009/2/17 Lucas Cardoso <lucasecardoso en gmail.com>:
>>>>
>>>>> 2009/2/17 sandro <caixero en gmail.com>:
>>>>>
>>>>>> hola me parece que no fui explicito, el que comparte la conexion a
>>>>>> internet es mi xubuntu y justamente lo que pregunto es como cierro el
>>>>>> 901 para que no se tenga acceso desde internet.
>>>>>> muchisimas gracias por interesarte
>>>>>>
>>>>>>
>>>>> Entiendo...
>>>>>
>>>>> Me parece que lo más razonable es hacer un filtro por IP con iptables.
>>>>> O sea, que no cualquier paquete pueda entrar al puerto 901, sino sólo
>>>>> aquellos provenientes de una IP o un rango de IPs en particular
>>>>> (192.168.1.xxx por ej, depende de tu LAN).
>>>>>
>>>>> No recuerdo cómo hacer eso con iptables (no soy un experto en redes,
>>>>> como dije anteriormente), pero tiene que estar en la documentación.
>>>>>
>>>>>
>>>>> --
>>>>> Lucas Cardoso
>>>>>
>>>>> --
>>>>> Ubuntu-ar lista de correo
>>>>> Ubuntu-ar en lists.ubuntu.com
>>>>> Modifica tus opciones o desuscribite en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
>>>>> Siempre leer, comprender y aplicar nuestra etiqueta: https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML
>>>>>
>>>>>
>>>>>
>>>> Deberias poner algo asi, pero sino conocemos como tienes armada tu red
>>>> (interfaces conectadas, etc) es dificil.
>>>>
>>>> iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 901 -j DROP
>>>> iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 901 -j DROP
>>>>
>>>> Se mas claro y explica mejor cuantas placas de red tiene xubuntu,
>>>> recibe conexion a inet directamente, el scan lo hiciste desde afuera o
>>>> desde adentro?
>>>>
>>>> Salu2
>>>>
>>>>
>>> También podés DROPpear todos los paquetes que entren por el puerto 901
>>> en la interfaz que sale directamente a la red.
>>>
>>>
>>>
>>>
>> Aparte de configurar IPTABLES, hay otra opción: configurar SWAT para que
>> solo "escuche" en localhost. Lo mejor es hacer ambas cosas ;)
>>
>> Editá el archivo inetd.conf, con
>> sudo gedit /etc/inetd.conf
>>
>> Hay una línea que dice:
>>
>> swat stream tcp nowait.400 root /usr/sbin/tcpd /usr/sbin/swat
>>
>> Agregale 127.0.0.1: justo antes de la primer palabra swat, para que
>> quede así:
>>
>> 127.0.0.1:swat stream tcp nowait.400 root /usr/sbin/tcpd /usr/sbin/swat
>>
>> Y reiniciá el servicio de SWAT:
>>
>> /etc/init.d/openbsd-inetd restart
>>
>> Fijate antes y después en qué direcciones está escuchando con:
>> netstat -nat | grep 901
>>
>> Debería decirte que solo escucha en localhost: 127.0.0.1:901 (y antes
>> decía 0.0.0.0:901 que es todas las IPs locales)
>>
>> Saludos,
>> Pablo
>>
>>
>>
>>
>>
> sisi esa opcion la habia pensado, pero es que mi maldita curiosidad a
> veces no me deja dormir y me estaba ronfddando en la cabeza justamente
> ese tema, como puede ser que si le acivo el firewall el puerto quede
> abierto????, pero en fin no me queda otra que ponerme a estudiar un poco
> iptables ( que no me va a venir nada mal) asi que cuando tenga tiempo me
> voy a poner a estudiar un poco
>
> muchas gracias por interesarte
>
También tiene que ver con la política por default para recibir
conexiones desde "afuera". Sería mejor que la misma sea DROP (no aceptar
nada), excepto los servicios que vos abras explícitamente.
Si el default es aceptar, e instalás un paquete que corra un servicio
sin darte cuenta, quedará abierto sin querer :)
Y si es al revés, a lo sumo cuando no te puedas conectar, te vas a
acordar de que tenías que abrirlo. Prefiero esto. Solo recordá poner
antes (en el orden) los aceptar que la política por default (drop).
Slds.-
Pablo
More information about the Ubuntu-ar
mailing list