[Debian] Ports schließen
- Themenstarter KD3
- Beginndatum
Sinac
Erfahrenes Mitglied
Über Apache Ein Port hat nicht das Geringste mit Apache zu tun. Ports auf denen kein Dienst läuft brauchst du auch nicht sperren da ja nichts dahinter vorhanden ist. Generell macht sowas alles eine Firewall, dieser kannst du auch sagen die soll sämtliche Anfragen verwerfen, also die Ports blocken. Vielleicht erklärst du mal ein wenig genauer was du vor hast...
Greetz...
Sinac
Greetz...
Sinac
Matthias Reitinger
ɐɯıǝɹ
Dann solltest du die jeweiligen Dienste deaktivieren, die hinter diesen Ports laufen.
Ich hab es geschafft, die UDP Ports zu schließen, war nicht so schwer, man musste sich nur ein bisschen mehr reinhängen 
Nur noch paar fragen
TCP:
Port 21 (FTP ist ja klar werde ich sowieso deaktivieren )
Port 22 (SSH werde den Port umleiten, aber bis jetzt ging es nicht obwohl ich sicher bin das ich alles umgestellt hatte, werde aber natürlich weiter probieren)
Port 25 (SMTP werde ich auch deaktivieren, ist kein problem)
Port 80 ( HTTP, wäre es besser wenn ich diesen Port auch umstelle? )
Port 110 ( POP3, wäre dieser Port riskant oder so? )
Danke im voraus
MfG
KD3
Nur noch paar fragen
TCP:
Port 21 (FTP ist ja klar
werde ich sowieso deaktivieren )Port 22 (SSH werde den Port umleiten, aber bis jetzt ging es nicht obwohl ich sicher bin das ich alles umgestellt hatte, werde aber natürlich weiter probieren)
Port 25 (SMTP werde ich auch deaktivieren, ist kein problem)
Port 80 ( HTTP, wäre es besser wenn ich diesen Port auch umstelle? )
Port 110 ( POP3, wäre dieser Port riskant oder so? )
Danke im voraus
MfG
KD3
Dennis Wronka
Soulcollector
Also: Gezieltes Schliessen von Ports ist in der Regel die suboptimale Variante.
Warum? Weil man nur allzu gern auch mal einen Port vergisst und sich somit eventuell unnoetigen Gefahren aussetzen kann.
Ausserdem ist es meist einfacher einfach alles dicht zu machen und nur zu oeffnen was erwuenscht ist.
Dadurch werden dann sogar Ports gesperrt die nicht belegt sind, auch wenn es im Grunde ueberfluessig ist. Dennoch bietet es den Vorteil dass ein Dienst der eventuell irgendwann mal auf einem dieser Ports laeuft gleich geschuetzt ist. Und wenn von aussen darauf zugegriffen werden muss reicht eine weitere Regel dafuer aus.
Mal ein kleines Beispiel wie nur SSH, HTTP, SMTP und POP3 fuer die Aussenwelt erreichbar sind, alles andere wird vom Paketfilter (zumindest einigermassen) RFC-gerecht abgewiesen.
Was diesen Regeln natuerlich noch fehlt ist die Bindung an ein Interface, wie z.B. eth0 oder ppp0, denn ueber lo, das Loopback-Interface, sollte in der Regel alles erreichbar bleiben, was z.B. bei der Kommunikation PHP<->MySQL ganz sinnvoll sein kann und auch in anderen Faellen genutzt wird. Mein Linux-Server hier im Buero hat innerhalb der letzten 72 Tage schlappe 3GB ueber dieses Interface gejagt.
Warum? Weil man nur allzu gern auch mal einen Port vergisst und sich somit eventuell unnoetigen Gefahren aussetzen kann.
Ausserdem ist es meist einfacher einfach alles dicht zu machen und nur zu oeffnen was erwuenscht ist.
Dadurch werden dann sogar Ports gesperrt die nicht belegt sind, auch wenn es im Grunde ueberfluessig ist. Dennoch bietet es den Vorteil dass ein Dienst der eventuell irgendwann mal auf einem dieser Ports laeuft gleich geschuetzt ist. Und wenn von aussen darauf zugegriffen werden muss reicht eine weitere Regel dafuer aus.
Mal ein kleines Beispiel wie nur SSH, HTTP, SMTP und POP3 fuer die Aussenwelt erreichbar sind, alles andere wird vom Paketfilter (zumindest einigermassen) RFC-gerecht abgewiesen.
Code:
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -p tcp --dport http -j ACCEPT
iptables -A INPUT -p tcp --dport smtp -j ACCEPT
iptables -A INPUT -p tcp --dport pop3 -j ACCEPT
iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
iptables -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
iptables -A INPUT -j REJECT --reject-with icmp-proto-unreachable
Dennis Wronka
Soulcollector
Wenn Du Traffic ueber das Loopback-Device nicht blockst, was ich ja oben empfohlen habe, kannst Du auf der Maschine selbst per nMap einen Portscan durchfuehren und damit herausfinden was auf welchem Port laeuft. Dies kannst Du mit dem Versionsscan machen, Option -sV.
Das darfst Du aber nur noch so lange bis das neue Hacker-Gesetz in Kraft tritt, danach ist nMap ist Deutschland illegal und der Besitz wird mit Penisamputation bestraft.
Das darfst Du aber nur noch so lange bis das neue Hacker-Gesetz in Kraft tritt, danach ist nMap ist Deutschland illegal und der Besitz wird mit Penisamputation bestraft.
