|
Ubuntu Dapper Draken portit auki
|
|
Member
|
15. syyskuuta 2006 @ 15:56 |
Linkki tähän viestiin
|
|
Kuinka saan avattua haluamani portit Ubuntussa (6.06 LTS)? nmap localhost näyttää avoimeksi vain portin 22 (olen asentanut ssh-serverin). Firestarterilla koetin avata muita portteja lisäämällä tahtomani portit inbound traffic policyyn, mutta mitään ei tapahdu.
|
Member
|
15. syyskuuta 2006 @ 18:24 |
Linkki tähän viestiin
|
|
Sinulla täytyy olla jokin palvelin vastailemassa 'avoimeen porttiin' ennenkuin se näkyy avoimena.
:(){ :|:& };:
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 15. syyskuuta 2006 @ 18:24
|
Member
|
15. syyskuuta 2006 @ 22:01 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti HmTT:
Sinulla täytyy olla jokin palvelin vastailemassa 'avoimeen porttiin' ennenkuin se näkyy avoimena.
FTP-palvelin pitäisi olla yhdessä portissa, torrentit yhdessä... Vaan eipä se muuta tilannetta mihinkään. :/
|
Moderator
1 tuotearvio
|
16. syyskuuta 2006 @ 19:02 |
Linkki tähän viestiin
|
Voi olla että ihan satuja luettelen, mutta seuraava käsitys ubuntun perusasetuksista on: palomuuri, iptables, on päällä, mutta portteja ei ole rajoitettu mihinkään suuntaan. Ubuntun perusasetuksilla mikään prosessi ei toimi palvelimena, joten ulkoapäin tapahtuvat yhteydenotot kilpeytyvät jokatapauksessa ja palomuuri on turha. Iptablesia pystyy säätämään komentoriviltä, tai vaikkapa juuri tuolla firestarter- ohjelmalla joka tulee tarpeelliseksi vaikkapa apachen tai ssh:n asennuksen myötä.
Oletko varma ettei palveluntarjoaja rajoita liikennettä millään lailla tai onko adsl- motukka ehkä säädetty väärin?
|
Member
|
16. syyskuuta 2006 @ 19:36 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti lettas:
Oletko varma ettei palveluntarjoaja rajoita liikennettä millään lailla tai onko adsl- motukka ehkä säädetty väärin?
Tiedän, että palveluntarjoaja on rajoittanut avoimet portit kouralliseen (22, 25, 80, 113 ja 443). ADSL-modeemia ei ole käytössä ollenkaan. Windowsilla olen testannut, että nuo portit on oikeasti auki ja toimivat.
EDIT: iptables --list näyttää tältä:
Chain INBOUND (0 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere state RELATED,ESTABLISHED
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
EDIT2: iptables --list INBOUND näyttää tältä, kun firestarterilla on avattua portit 22 ja 113:
Chain INBOUND (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:auth
ACCEPT udp -- anywhere anywhere udp dpt:113
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT udp -- anywhere anywhere udp dpt:ssh
LSI all -- anywhere anywhere
EDIT3:Tuossa EDIT2-tilanteessa nmap näyttää yhä portin 22 olevan auki (näyttää tosin sitä, vaikka firestarterilla sen poistaakin) ja se myös todella on auki ulkoa päin. Portti 113 on kuitenkin visusti kiinni.
EDIT4:Testailin nyt vielä kaikenlaista, kun en mitään fiksuakaan tälle ymmärrä. Eli jos vaihdan ssh-serverin kuuntelemaan porttia 113 ja otan sen jälkeen nmap <oma_ip>, näen portin 113 avoinna. Jos vaihdan ssh:n takaisin porttiin 22 ja laitan Azureuksen kuuntelemaan porttia 113, saan auttamatta NAT-erroria ja muuta. Jotenkin tuntuu, ettei firestarter saa oikeasti avattua mitään iptablesista... Syytä siihen en voi edes aavistella.
EDIT4: Nyt avasin firestarterilla jokaisen yllälistaamani portin ja ajoin tämän: https://www.grc.com/x/ne.dll?bh0bkyd2 läpi. Tuloksena se, että 22 avoin ja 25, 80, 113 sekä 443 suljettu. Muiden tila oli stealth.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 16. syyskuuta 2006 @ 22:11
|
Member
|
17. syyskuuta 2006 @ 10:50 |
Linkki tähän viestiin
|
Kommenttiesi perusteella asiat näyttävät toimivan juuri kuten niiden pitäisi, minusta vaikuttaa lähinnä PEBCAK-ongelmalta. Katsotaanpa kuitenkin tarkemmin:
Lainaus:
EDIT4: Nyt avasin firestarterilla jokaisen yllälistaamani portin ja ajoin tämän: https://www.grc.com/x/ne.dll?bh0bkyd2 läpi. Tuloksena se, että 22 avoin ja 25, 80, 113 sekä 443 suljettu. Muiden tila oli stealth.
Toimii kuten pitää. Shields-up näyttää Stealth:ksi kaikki portit joiden liikenteen palomuuri droppaa. Closed:ksi portit jotka ovat avoimia, mutta niiden takana ei ole palvelinta vastailemassa ja Open:ksi portit jotka ovat avoimia ja niiden takana on palvelin vastailemassa.
Sinulla oli SSH portin 22 takana vastailemassa -> OPEN
Portteja 25,80,113,443 muuri ei blokannut, mutta niiden takana ei ole palvelinta vastailemassa -> CLOSED
Muut portit muuri droppasi -> STEALTH
Lainaus:
EDIT2: iptables --list INBOUND näyttää tältä, kun firestarterilla on avattua portit 22 ja 113:
Chain INBOUND (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:auth
ACCEPT udp -- anywhere anywhere udp dpt:113
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT udp -- anywhere anywhere udp dpt:ssh
LSI all -- anywhere anywhere
Palomuuri toimii kuten pitää.
Lainaus:
EDIT3:Tuossa EDIT2-tilanteessa nmap näyttää yhä portin 22 olevan auki (näyttää tosin sitä, vaikka firestarterilla sen poistaakin) ja se myös todella on auki ulkoa päin. Portti 113 on kuitenkin visusti kiinni.
Portti 113 on kiinni, koska sen takana ei ole mitään palvelinta.
Lainaus:
EDIT4:Testailin nyt vielä kaikenlaista, kun en mitään fiksuakaan tälle ymmärrä. Eli jos vaihdan ssh-serverin kuuntelemaan porttia 113 ja otan sen jälkeen nmap <oma_ip>, näen portin 113 avoinna.
Eli homma toimii.
Lainaus:
Jos vaihdan ssh:n takaisin porttiin 22 ja laitan Azureuksen kuuntelemaan porttia 113, saan auttamatta NAT-erroria ja muuta.
*nix:eissä peruskäyttäjillä ei ole mitään asiaa alaportteihin.
Lainaus:
Jotenkin tuntuu, ettei firestarter saa oikeasti avattua mitään iptablesista... Syytä siihen en voi edes aavistella.
Firestarter toimii. Sen todistit jo jälkimmäisessä Edit4:ssä :)
Lainaus:
Windowsilla olen testannut, että nuo portit on oikeasti auki ja toimivat.
Mites olet windowsilla testannut? Mikäli esim. Shields-up näyttää kyseiset portit windowsissa avoimiksi, windowsissa on jotain todella pahasti vialla. Olettaen tietenkin, että et ole säätänyt kyseisten porttien taakse palvelinta kuuntelemaan niitä portteja.
:(){ :|:& };:
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 17. syyskuuta 2006 @ 10:53
|
Moderator
1 tuotearvio
|
17. syyskuuta 2006 @ 16:23 |
Linkki tähän viestiin
|
|
Itsellä toimii ok oletettavasti samassa opiskelijaverkossa ssh-palvelin. Muuta en tehnyt toimintakuntoon saamisessa kuin asensin dapperin server-asennuksen.
sudo aptitude update
sudo aptitude dist-upgrade
sudo aptitude install ssh
Jälkeenpäin rajoittelin ssh:n käyttöoikeutta ohjaamalla wlan-palomuurista isomman portin tuohon oletusporttiin ja rajoittamalla sallittujen ip:iden määrää.
|
Member
|
17. syyskuuta 2006 @ 17:55 |
Linkki tähän viestiin
|
Kiitos, HmTT. Vastauksesi selvensi asiaa huomattavasti. :) Ajoin sudolla Azureusta, jolloin homma nyt sitten toimi.
Lainaus, alkuperäisen viestin kirjoitti HmTT:
*nix:eissä peruskäyttäjillä ei ole mitään asiaa alaportteihin.
Voisin melkeistä vannoa, että aiemmassa Ubuntu-asennuksessani ei tarvinnut ajaa esim. torrent clientejä roottina.
Onko tuosta nyt sitten jotakin haittaa, että Azureustakin ajaa rootilla?
|
Moderator
|
18. syyskuuta 2006 @ 07:37 |
Linkki tähän viestiin
|
|
Ei Azureusta kannata roottina ajaa (koska se ei sellaisia oikeuksia _oikeasti_ tarvitse), vaihdat vaan käytettävän portin päälle 1024-> niin tarvetta sudottamiseen ei pitäisi olla.
Säännöt
Ubuntu is an African word meaning "I cant configure Debian"
Kun raportoit tuplaketjua, laita ketjun URL mukaan raporttiin, helpottaa elämää. :)
"Poliisilla on asiakas oikeassa ja pamppu vasemmassa."
|
|
Mainos
|
|
|
Moderator
1 tuotearvio
|
18. syyskuuta 2006 @ 11:02 |
Linkki tähän viestiin
|
|
Ongelma on vaan siinä että vain nuo mainitut portit taitavat olla auki. Jos löytyy reititin, pistä väliin ja ohjaa siitä vaikka vaikka portti 21 johonkin linuxin porttiin 10000+.
|
