The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Закрыть порт на внешнем сетевом интерфейсе"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Firewall и пакетные фильтры / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Закрыть порт на внешнем сетевом интерфейсе"  +/
Сообщение от Жекан on 21-Сен-11, 12:09 
Есть сервер ОС FreeBSD 8.2 на нём шлюз squid nat  c пересобраным ядром добавлены опции в ядро
options IPFIREWALL_VERBOSE # логгинг пакетов, если в правиле написано log
options IPFIREWALL_VERBOSE_LIMIT=100 # ограничение логов (повторяющихся)
options IPFIREWALL_DEFAULT_TO_ACCEPT # дефолтное правило - разрешающее
options IPDIVERT # необходимо для NAT
options IPFIREWALL_FORWARD # перенаправление пакетов
options DUMMYNET # ограничение скорости

установлен squid на 80 порту
SSH на внешнем интерфейсе закрыл
ядро пересобрано установлено
сканим порты на внешнем интерфейсе xl0 10.2.4.7

nmap-sT -O 10.2.4.7

80/tcp  open  http

открыт 80 порт

надо закрыть
добавляем правило в ipfw
ipfw -q add deny tcp from any to any 80 in via xl1
deny tcp from any to any dst-port 80 in via xl1

поверяем ipfw list
поверяем правило добавилось
Но при сканировании потов на внешнем интерфейсе  он всеравно открыт 80/tcp  open  http
Где ошибка не пойму подскажите

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Закрыть порт на внешнем сетевом интерфейсе"  +/
Сообщение от Aquarius (ok) on 21-Сен-11, 12:59 
>[оверквотинг удален]
> надо закрыть
> добавляем правило в ipfw
>  ipfw -q add deny tcp from any to any 80 in
> via xl1
> deny tcp from any to any dst-port 80 in via xl1
> поверяем ipfw list
> поверяем правило добавилось
> Но при сканировании потов на внешнем интерфейсе  он всеравно открыт 80/tcp
>  open  http
> Где ошибка не пойму подскажите

параметр http_port в squid.conf

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Закрыть порт на внешнем сетевом интерфейсе"  +/
Сообщение от Жекан on 21-Сен-11, 14:40 
>[оверквотинг удален]
>> добавляем правило в ipfw
>>  ipfw -q add deny tcp from any to any 80 in
>> via xl1
>> deny tcp from any to any dst-port 80 in via xl1
>> поверяем ipfw list
>> поверяем правило добавилось
>> Но при сканировании потов на внешнем интерфейсе  он всеравно открыт 80/tcp
>>  open  http
>> Где ошибка не пойму подскажите
> параметр http_port в squid.conf

да там стоит 80 порт
он открыт на обоих интерфейсах внутреннем и внешнем

а надо чтобы только на внутреннем работал 80 порт
собсно я прбую ет сделать ipfw  но НЕРАБОТАЕТ
ПОрт всеравно ОТКРЫТ
подскажите что сделать чтобы закрыть порт ipfw

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Закрыть порт на внешнем сетевом интерфейсе"  +/
Сообщение от Aquarius (ok) on 24-Сен-11, 21:29 
>[оверквотинг удален]
>>> Но при сканировании потов на внешнем интерфейсе  он всеравно открыт 80/tcp
>>>  open  http
>>> Где ошибка не пойму подскажите
>> параметр http_port в squid.conf
> да там стоит 80 порт
> он открыт на обоих интерфейсах внутреннем и внешнем
> а надо чтобы только на внутреннем работал 80 порт
> собсно я прбую ет сделать ipfw  но НЕРАБОТАЕТ
> ПОрт всеравно ОТКРЫТ
> подскажите что сделать чтобы закрыть порт ipfw

прочитайте внимательно описание параметра

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Закрыть порт на внешнем сетевом интерфейсе"  +/
Сообщение от Evgen (??) on 21-Сен-11, 15:28 
> сканим порты на внешнем интерфейсе xl0 10.2.4.7
> deny tcp from any to any dst-port 80 in via xl1

Чето или я не понял или ты интерфейсы попутал

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Закрыть порт на внешнем сетевом интерфейсе"  +/
Сообщение от bga83 (ok) on 12-Окт-11, 17:00 
Сканирование откуда проводишь? точно снаружи?
просто если проводить его из локалки, то пакет не попадет на внешний интерфейс. Он пройдет внутренний интерфейс, а потом на интерфейс обратной петли
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Ideco
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру