Firewall op home server

Message

gondolin · Post by **gondolin** » Tue Nov 01, 2005 7:51 pm

Hoi,

ik ben juist klaar met m'n home server, ik heb de firewall opgezet zoals beschreven on de howto van gentoo-wiki maar een nmap op het externe ip adres toont open poorten, en dit zou eigenlijk niet mogen, aangezien ik alleen maar ESTABLISHED,RELATED aanvaard en al de rest block.
Wie heeft er advies

firewall:

# Flush all rules
iptables -F; iptables -t nat -F; iptables -t mangle -F

## Internal to External rules
# Enable masquerading to allow LAN internet access
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
# Forward LAN traffic from eth0 to internet interface eth1
iptables -I FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

## Incomming rules
# Allow only existing connections
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allow only NEW from the internal network
iptables -A INPUT -m state --state NEW -i ! eth1 -j ACCEPT

# Drop all the rest
iptables -P INPUT DROP

de output van nmap

Starting nmap 3.83.DC13 ( http://www.insecure.org/nmap/ ) at 2005-11-01 20:40 CET
Initiating Connect() Scan against dD5E0303D.access.telenet.be (XXX.XXX.XXX.XXX) [1667 ports] at 20:40
Discovered open port 25/tcp on XXX.XXX.XXX.XXX
Discovered open port 8000/tcp on XXX.XXX.XXX.XXX
Discovered open port 111/tcp on XXX.XXX.XXX.XXX
Discovered open port 3306/tcp on XXX.XXX.XXX.XXX
Discovered open port 631/tcp on XXX.XXX.XXX.XXX
Discovered open port 143/tcp on XXX.XXX.XXX.XXX
Discovered open port 8080/tcp on XXX.XXX.XXX.XXX
The Connect() Scan took 0.16s to scan 1667 total ports.
Host dD5E0303D.access.telenet.be (XXX.XXX.XXX.XXX) appears to be up ... good.
Interesting ports on dD5E0303D.access.telenet.be (XXX.XXX.XXX.XXX):
(The 1660 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
25/tcp open smtp
111/tcp open rpcbind
143/tcp open imap
631/tcp open ipp
3306/tcp open mysql
8000/tcp open http-alt
8080/tcp open http-proxy

Nmap finished: 1 IP address (1 host up) scanned in 0.303 seconds

Rainmaker · Post by **Rainmaker** » Wed Nov 02, 2005 3:14 am

Misschien dat ie uitstaat hoor maar:

Code: Select all

Medusa% nmap xxx.access.telenet.be

Starting nmap 3.93 ( http://www.insecure.org/nmap/ ) at 2005-11-02 04:05 CET
Note: Host seems down. If it is really up, but blocking our ping probes, try -P0
Nmap finished: 1 IP address (0 hosts up) scanned in 4.014 seconds
Medusa% nmap xxx.access.telenet.be -P0

Starting nmap 3.93 ( http://www.insecure.org/nmap/ ) at 2005-11-02 04:05 CET
All 1668 scanned ports on xxx.access.telenet.be (213.xxx.xx.xx) are: filtered

Nmap finished: 1 IP address (1 host up) scanned in 345.241 seconds

BTW. je IP niet posten, maar je hostname wel is niet echt effectief

En trouwens, is toch een goeie firewall? Wat maakt het dan uit als iedereen je IP heeft?

spufi · Post by **spufi** » Wed Nov 02, 2005 7:25 am

Installeer portsentry naast je firewall, dan hoef je je geen zorgen te maken over die open poorten. Ze zullen er nog steeds zijn, maar pretty secure

PS: if you do, don't nmap yourself!!!

gondolin · Post by **gondolin** » Wed Nov 02, 2005 7:54 am

Rainmaker,
Hij staat aan hoor, inderdaad ik had daar over gezien (hostname) stom ...

spufi
Maar ik zal inderdaad portsentry ook installeren.

Iedereen bedankt.

Rainmaker · Post by **Rainmaker** » Wed Nov 02, 2005 10:35 pm

maak inderdaad een uitzondering in je portsentry config voor lokale adressen.

Ook iets wat je nooit moet doen: via SSH een firewall instaleren, zeker niet op een headless setup

spufi · Post by **spufi** » Thu Nov 03, 2005 9:06 am

Rainmaker wrote:Ook iets wat je nooit moet doen: via SSH een firewall instaleren, zeker niet op een headless setup

Zoals ik ooit in m'n kruipkelder mocht kruipen opzoek naar m'n debian server toen 'k mezelf buitensloot door met 3 verschillende pc's portsentry te willen testen

*boggles*

Sindsdien gebruik 'k een oude laptop als server, nooit meer zoeken naar een scherm & keyboard :p