Sikker server

Principielt skal der jo ikke vær eflere åbne porte en dem der eksplicit skal
bruges udefra.

Men du kunne jo starte med at lave en lille port scan.

F.eks.:
http://grc.com/x/ne.dll?rh1dkyd2

Hvilke porte skal jeg scanne fra og til - med andre ord: hvilket portrange skal jeg scanne?

1-65536?

Start med "common ports".

Men hvis du har tid kan du da tage dem alle.

Er i gang med portscan nu - det tager lidt længe :)

Vender tilbage med en liste over åbne porte når det er færdigt...

Men det er nok ikke nødvendigt at vente på... Jeg har allerede pt fået status på, at følgende porte er åbne:
9, 13, 21, 22, 25, 37, 80

De eneste af dem, jeg skal bruge er jo 21, 22, 80... Hvordan lukker jeg de andre? Bl.a. port 25 (SMTP)?

/mikl-dk

Du har ikke en firewall (eller router med NAT) foran formoder jeg.

(fordi så havde de været lukket de fleste)

25 er iøvrigt email så hvis du driver egen mail-server så ...

Du skal have sat noget firewall funktionalitet op på din PC og
have lukket for lidt forskelligt.

Har du iptables ?

Ja, jeg har.

Ja, 25 er til SMTP.

Nej, har ikke sat noget af den slags op...

Jeg er *ikke* iptables ekspert.

Jeg ved at mange bruger den her:
  http://iptables-script.dk/
til at generere iptables configuration script med.

Kan sådan et script nedenunder måske ikke gøre det, jeg er ude efter (er i tvivl om det skal være tcp eller udp ved 2002 - bnc'en?)?

#!/bin/sh

# Diable forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

WAN_IP='62.107.113.13'
WAN_NIC='eth0'

# load some modules (if needed)
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Open ports on router for server/services
iptables -A INPUT -j ACCEPT -p tcp --dport 80
iptables -A INPUT -j ACCEPT -p tcp --dport 21
iptables -A INPUT -j ACCEPT -p tcp --dport 22
iptables -A INPUT -j ACCEPT -p tcp --dport 2002

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

Det er sådan et script.

Jeg er ikke god nok til at vurdere om lige præcis det er sikkert nok.

Men det er sådan et script.

Du må vel vide om det PsyBNC er UDP eller TCP.

Men hvis ikke må du enten prøve dig frem eller åbne begge dele.

Tror det virker... Har prøvet at portscanne på de porte nu, og nu er de lukket, så det er vel fint, og alle services virker :)

Smid lige et svar arne_v ;) Mener du ikke, at det nu er forholdsvis sikkert? Eller mere end før i hvert fald :)

Jeg bruger følgende script:

#!/bin/sh

echo 0 > /proc/sys/net/ipv4/ip_forward

modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -j ACCEPT -p tcp --dport 80
iptables -A INPUT -j ACCEPT -p tcp --dport 21
iptables -A INPUT -j ACCEPT -p tcp --dport 22
iptables -A INPUT -j ACCEPT -p tcp --dport 2002
iptables -A INPUT -j ACCEPT -p udp --dport 2002

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward

Det ser OK ud for mig.

Men stol mere på en port scan end på mig !

:-)

svar

Okay :) Takker for pejlingen mod løsning ;)

/mikl-dk