- Непонятное поведение iptables. Пропускает udp пакеты!,
 nikara, 08:43 , 03-Сен-03 (1)>Доброго дня всем.
>Настраиваю iptables под Mandrake 9.0 Мне необходимо, чтобы у меня во внутреннюю
>сеть светили только порты udp 53, 123 и самба...
>Создаю цепочку udp_packet, набиваю для нее правило
>-A udp_packet -p udp -m multiport --dport 53,123,137,138,139 -j ACCEPT
>Потом вызываю эту цепочку во входящих
>-A INPUT -p udp -i lan_iface -j udp_packet
>Политика по умолчанию для INPUT - DROP.
>Сканирую внутренний интерфейс сканером. По udp портам получаю открытыми аж 24! Причем
>открыта всякая бяка типа tftp, rip, kerberos, wins...
>Слегка офигеф, я начал эксперементировать и выяснил, что если в правило для
>цепочки udp_packet не включать порты 137, 138, 139 - то все
>работает как часы.... Если включить - получается лажа..
>Подскажите плиз, как правильно открыть для самбы порты? И надо ли ВООБЩЕ
>открывать udp порты 137 138 139 для нормальной работы самба-сервера? Господа неужели ни у кого нет вариантов? Нужна ваша помощь...
- Непонятное поведение iptables. Пропускает udp пакеты!, necroman, 10:29 , 03-Сен-03 (2)
>>.....
>>-A udp_packet -p udp -m multiport --dport 53,123,137,138,139 -j ACCEPT
>>...
Ты уверен ,что у тебя для этой цепочки политика по уомлчанию не DROP ?
- Непонятное поведение iptables. Пропускает udp пакеты!, nikara, 10:50 , 03-Сен-03 (3)
>>>.....
>>>-A udp_packet -p udp -m multiport --dport 53,123,137,138,139 -j ACCEPT
>>>...
>Ты уверен ,что у тебя для этой цепочки политика по уомлчанию не
>DROP ? Я для пользовательских цепочек политики не выставляю. И потом, если
бы политика была DROP - то никакие UDP пакеты не ходили бы.
ситуация страннейшая!
- Непонятное поведение iptables. Пропускает udp пакеты!, alex, 13:09 , 03-Сен-03 (4)
>
>Я для пользовательских цепочек политики не выставляю. И потом, если
> бы политика была DROP - то никакие UDP пакеты не ходили
>бы.
>ситуация страннейшая!
>
chudes ne bivaet,
pokaji: ipchains-saveAlex
- Непонятное поведение iptables. Пропускает udp пакеты!, nikara, 14:13 , 03-Сен-03 (5)
>>
>>Я для пользовательских цепочек политики не выставляю. И потом, если
>> бы политика была DROP - то никакие UDP пакеты не ходили
>>бы.
>>ситуация страннейшая!
>>
> chudes ne bivaet,
> pokaji: ipchains-save
>
>Alex Держи Чудес действительно не бывает - бывают кривые руки:) # Generated by iptables-save v1.2.6a on Tue Sep 2 19:58:59 2003
*filter
:INPUT DROP [1865:130067]
:FORWARD DROP [0:0]
:OUTPUT DROP [28:1654]
:allowed - [0:0]
:bad - [0:0]
:icmp_packet - [0:0]
:tcp_packet0 - [0:0]-цепочка для tcp пакетов входящих из локали
:tcp_packet1 - [0:0]- цепочка для tcp пакетов входящих из инета
:udp_packet0 - [0:0]цепочка для udp пакетов входящих из локали
:udp_packet1 - [0:0]цепочка для udp пакетов входящих из инета
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -p tcp -j bad
-A INPUT -d 192.168.200.х -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.200.0/255.255.255.0 -i eth0 -p tcp -j tcp_packet0
-A INPUT -s 192.168.100.0/255.255.255.0 -i eth0 -p tcp -j tcp_packet0
-A INPUT -s 192.168.100.0/255.255.255.0 -i eth0 -p udp -j udp_packet0
-A INPUT -s 192.168.200.0/255.255.255.0 -i eth0 -p udp -j udp_packet0
-A INPUT -i eth0 -p icmp -j icmp_packet
-A INPUT -d inet_ip -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -j tcp_packet1
-A INPUT -i eth1 -p udp -j udp_packet1
-A INPUT -i eth1 -p icmp -j icmp_packet
-A INPUT -m limit --limit 10/min --limit-burst 10 -j ULOG --ulog-prefix "INPUT died: "
-A FORWARD -p tcp -j bad
-A FORWARD -i eth0 -p tcp -j tcp_packet0
-A FORWARD -i eth0 -p udp -j udp_packet0
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m limit --limit 10/min --limit-burst 10 -j ULOG --ulog-prefix "FORWARD died: "
-A OUTPUT -p tcp -j bad
-A OUTPUT -s 127.0.0.1 -j ACCEPT
-A OUTPUT -s 192.168.200.x -j ACCEPT
-A OUTPUT -s inet_ip -j ACCEPT
-A OUTPUT -p icmp -j icmp_packet
-A allowed -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -j DROP
-A bad -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j ULOG --ulog-prefix "BAD: "
-A bad -p tcp -m state --state NEW -m tcp ! --tcp-flags SYN,RST,ACK SYN -j DROP
-A icmp_packet -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packet -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A tcp_packet0 -p tcp -m multiport --dports ftp-data,ftp,smtp,domain,pop3,https,squid,10000 -j allowed
-A tcp_packet1 -p tcp -m multiport --dports ftp-data,ftp,smtp,domain,http,pop3,https -j allowed
-A udp_packet0 -p udp -m multiport --dports 53,123,137,138,139 -j ACCEPT
-A udp_packet1 -p udp -m multiport --dports domain,ntp -j ACCEPT
COMMIT
# Completed on Tue Sep 2 19:58:59 2003
# Generated by iptables-save v1.2.6a on Tue Sep 2 19:58:59 2003
*nat
:PREROUTING ACCEPT [2119:147314]
:POSTROUTING ACCEPT [19:1211]
:OUTPUT ACCEPT [60:4055]
-A POSTROUTING -o eth1 -j SNAT --to-source inet_ip
COMMIT
# Completed on Tue Sep 2 19:58:59 2003
# Generated by iptables-save v1.2.6a on Tue Sep 2 19:58:59 2003
*mangle
:PREROUTING ACCEPT [2389:181663]
:INPUT ACCEPT [2389:181663]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [521:41908]
:POSTROUTING ACCEPT [493:40254]
COMMIT Интерфейс eth0 - локальный
Интерфейс eth1 - в инет
В данной конфигурации я сканирую адрес внутреннего интерфейса и получаю открытыми 24 udp порта с соот-ми сервисами...
- Непонятное поведение iptables. Пропускает udp пакеты!, alex, 14:55 , 03-Сен-03 (6)
>:INPUT DROP [1865:130067]
>...
>-A INPUT -s 192.168.100.0/255.255.255.0 -i eth0 -p udp -j udp_packet0
>-A INPUT -s 192.168.200.0/255.255.255.0 -i eth0 -p udp -j udp_packet0
>-A INPUT -i eth1 -p udp -j udp_packet1
>...
>-A udp_packet0 -p udp -m multiport --dports 53,123,137,138,139 -j ACCEPT
>-A udp_packet1 -p udp -m multiport --dports domain,ntp -j ACCEPT mda, vrode vse pravilino
a chem ti scanish ? nmap ? mojet eto ego plushit
na krainii sluchai dobavi posle
>-A udp_packet0 -p udp -m multiport --dports 53,123,137,138,139 -j ACCEPT
-A udp_packet0 -p udp -j DROP Alex
- Непонятное поведение iptables. Пропускает udp пакеты!, nikara, 15:22 , 03-Сен-03 (7)
>>:INPUT DROP [1865:130067]
>>...
>>-A INPUT -s 192.168.100.0/255.255.255.0 -i eth0 -p udp -j udp_packet0
>>-A INPUT -s 192.168.200.0/255.255.255.0 -i eth0 -p udp -j udp_packet0
>>-A INPUT -i eth1 -p udp -j udp_packet1
>>...
>>-A udp_packet0 -p udp -m multiport --dports 53,123,137,138,139 -j ACCEPT
>>-A udp_packet1 -p udp -m multiport --dports domain,ntp -j ACCEPT
>
> mda, vrode vse pravilino
>a chem ti scanish ? nmap ? mojet eto ego plushit
> na krainii sluchai dobavi posle
>>-A udp_packet0 -p udp -m multiport --dports 53,123,137,138,139 -j ACCEPT
>-A udp_packet0 -p udp -j DROP
>
>Alex
сканирую вообще из под винды xSpider...
добавлял - не помогает. только если убрать порты 137,138 и 139
может это винда так изголяется
- Непонятное поведение iptables. Пропускает udp пакеты!, alex, 15:44 , 03-Сен-03 (8)
poprobui nmap'om
esli net takoi vozmojnosti,
zapusti tftp na servere i poprobui
tuda chto niti zaliti/sliti,
eto budet naverniaka (mojet
dvoi skaner prosto ih otkritimi
schitaet a na samom dele oni DROP)
skoree vsego gluchit scanner pod MD
chem iptables pod *nix'om Alex
- Непонятное поведение iptables. Пропускает udp пакеты!, nikara, 16:21 , 03-Сен-03 (9)
> poprobui nmap'om
> esli net takoi vozmojnosti,
>zapusti tftp na servere i poprobui
>tuda chto niti zaliti/sliti,
>eto budet naverniaka (mojet
>dvoi skaner prosto ih otkritimi
>schitaet a na samom dele oni DROP)
> skoree vsego gluchit scanner pod MD
>chem iptables pod *nix'om
>
>Alex Возможности действительно нет...жаль
Поковыряюсь с tftp
Спасибо :)
- Непонятное поведение iptables. Пропускает udp пакеты!, Michael, 18:37 , 03-Сен-03 (10)
>Возможности действительно нет...жаль
почему же...
воткни другую сетевуху в свой сервак, и соедини ее с той, которая уже есть
хочешь - через хаб/свитч, хочешь просто проводом, без разницы...
и просканируй сам себя! :)
только ip-адерса сетевухам из разных подсетей давай...
- Непонятное поведение iptables. Пропускает udp пакеты!, nikara, 11:13 , 04-Сен-03 (11)
>>Возможности действительно нет...жаль
>почему же...
>воткни другую сетевуху в свой сервак, и соедини ее с той, которая
>уже есть
>хочешь - через хаб/свитч, хочешь просто проводом, без разницы...
>и просканируй сам себя! :)
>только ip-адерса сетевухам из разных подсетей давай...
Похоже действительно винда подглюкивает.... Хотя окончательно не уверен...
И насчет nmap - чайник я еще в линухе, только только начал с основами разбираться.. Боюсь, что не получится пока его настроить...
- Непонятное поведение iptables. Пропускает udp пакеты!, Michael, 11:40 , 04-Сен-03 (12)
>И насчет nmap - чайник я еще в линухе, только только начал
>с основами разбираться.. Боюсь, что не получится пока его настроить...
а что там настраивать?
в простейшем случае тебе понадобится две команды:
nmap твой_ip
- для проверки открытых tcp-портов
nmap -sU твой_ip
- для проверки открытых udp-портов
- Непонятное поведение iptables. Пропускает udp пакеты!, nikara, 15:27 , 04-Сен-03 (13)
>>И насчет nmap - чайник я еще в линухе, только только начал
>>с основами разбираться.. Боюсь, что не получится пока его настроить...
>а что там настраивать?
>в простейшем случае тебе понадобится две команды:
>nmap твой_ip
> - для проверки открытых tcp-портов
>nmap -sU твой_ip
> - для проверки открытых udp-портов 1 Его надо поставить
2 Посмотреть ту информацию, которую получит при сканировании
- Непонятное поведение iptables. Пропускает udp пакеты!, Michael, 15:44 , 04-Сен-03 (14)
>1 Его надо поставить
скорее всего, он уже стоит по-умолчанию...
если нет, то
rpm -i nmap-*.rpm
в каталоге с rpm-пакетами мандрейка. и укажи точное имя.>2 Посмотреть ту информацию, которую получит при сканировании
надо всего лишь посмотреть на экран :))) - Непонятное поведение iptables. Пропускает udp пакеты!, alex, 16:02 , 04-Сен-03 (15)
>>>И насчет nmap - чайник я еще в линухе, только только начал
>>>с основами разбираться.. Боюсь, что не получится пока его настроить...
>>а что там настраивать?
>>в простейшем случае тебе понадобится две команды:
>>nmap твой_ip
>> - для проверки открытых tcp-портов
>>nmap -sU твой_ip
>> - для проверки открытых udp-портов
>
>1 Его надо поставить
>2 Посмотреть ту информацию, которую получит при сканировании
>
ia toliko chto reshil vsetaki proveriti (u menia
ne bilo linux'a pod rukoi do etogo)
na SRV:
[root@SRV root]# ipchains -I input 1 -s MYIP/255.255.255.255 -d SRV/255.255.255.255 69:69 -i eth1 -p udp -j DENYna MYIP:
+root@MYIP ~+# nmap -sU -p 53,69 SRV
Starting nmap 3.30 ( http://www.insecure.org/nmap/ ) at 2003-09-04 15:00 EEST
Interesting ports on SRV
Port State Service
53/udp open domain
69/udp open tftp Nmap run completed -- 1 IP address (1 host up) scanned in 2.296 seconds tak chto hernia vse eto Alex
- Непонятное поведение iptables. Пропускает udp пакеты!, nikara, 16:09 , 04-Сен-03 (16)
>>>>И насчет nmap - чайник я еще в линухе, только только начал
>>>>с основами разбираться.. Боюсь, что не получится пока его настроить...
>>>а что там настраивать?
>>>в простейшем случае тебе понадобится две команды:
>>>nmap твой_ip
>>> - для проверки открытых tcp-портов
>>>nmap -sU твой_ip
>>> - для проверки открытых udp-портов
>>
>>1 Его надо поставить
>>2 Посмотреть ту информацию, которую получит при сканировании
>>
> ia toliko chto reshil vsetaki proveriti (u menia
>ne bilo linux'a pod rukoi do etogo)
>na SRV:
>[root@SRV root]# ipchains -I input 1 -s MYIP/255.255.255.255 -d SRV/255.255.255.255 69:69 -i
>eth1 -p udp -j DENY
>
>na MYIP:
>+root@MYIP ~+# nmap -sU -p 53,69 SRV
>Starting nmap 3.30 ( http://www.insecure.org/nmap/ ) at 2003-09-04 15:00 EEST
>Interesting ports on SRV
>Port State
> Service
>53/udp open
> domain
>69/udp open
> tftp
>
>Nmap run completed -- 1 IP address (1 host up) scanned in
>2.296 seconds
>
>tak chto hernia vse eto
>
>Alex
>Ты закрыл все udp пакеты на вход и все равно получил, что два открыты?!
Как так?
- Непонятное поведение iptables. Пропускает udp пакеты!, alex, 16:15 , 04-Сен-03 (17)
bolee togo,
na SRV:
[root@SRV /]# ipchains -I input 1 -s MYIP/255.255.255.255 -d SRV/255.255.255.255 53:53 -i eth1 -p udp -j DENYna MYIP:
+root@MYIP ~+# nmap -n -sU -p 53,69 SRV
Starting nmap 3.30 ( http://www.insecure.org/nmap/ ) at 2003-09-04 15:07 EEST
Interesting ports on SRV:
Port State Service
53/udp open domain
69/udp open tftp Nmap run completed -- 1 IP address (1 host up) scanned in 0.937 seconds +root@MYIP ~+# nslookup 127.0.0.1 SRV
*** Can't find server name for address SRV: Timed out
*** Default servers are not available (SRV - estestvenno ip servera)
tak chto mojesh ne perejivati, skanneri prosto ne
mogut tochno opredeliti otkrit ili
zafiltrovan udp port Alex - Непонятное поведение iptables. Пропускает udp пакеты!, nikara, 16:17 , 04-Сен-03 (18)
>
> bolee togo,
>na SRV:
>[root@SRV /]# ipchains -I input 1 -s MYIP/255.255.255.255 -d SRV/255.255.255.255 53:53 -i
>eth1 -p udp -j DENY
>
>na MYIP:
>+root@MYIP ~+# nmap -n -sU -p 53,69 SRV
>Starting nmap 3.30 ( http://www.insecure.org/nmap/ ) at 2003-09-04 15:07 EEST
>Interesting ports on SRV:
>Port State
> Service
>53/udp open
> domain
>69/udp open
> tftp
>
>Nmap run completed -- 1 IP address (1 host up) scanned in
>0.937 seconds
>
>+root@MYIP ~+# nslookup 127.0.0.1 SRV
>*** Can't find server name for address SRV: Timed out
>*** Default servers are not available
>
>(SRV - estestvenno ip servera)
>tak chto mojesh ne perejivati, skanneri prosto ne
>mogut tochno opredeliti otkrit ili
>zafiltrovan udp port
>
>Alex Век живи век учись:)
Пасибо большое - Непонятное поведение iptables. Пропускает udp пакеты!, Michael, 16:46 , 04-Сен-03 (19)
>tak chto mojesh ne perejivati, skanneri prosto ne
>mogut tochno opredeliti otkrit ili
>zafiltrovan udp port
а тогда почему он не выдает полный список портов, если они все зафильтованы?
- Непонятное поведение iptables. Пропускает udp пакеты!, nikara, 17:02 , 04-Сен-03 (20)
>>tak chto mojesh ne perejivati, skanneri prosto ne
>>mogut tochno opredeliti otkrit ili
>>zafiltrovan udp port
>а тогда почему он не выдает полный список портов, если они все
>зафильтованы? может ты можешь повторить эксперимент - было бы интересно услышать, что у тебя покажет? - Непонятное поведение iptables. Пропускает udp пакеты!, alex, 18:12 , 04-Сен-03 (21)
poluchilosi sovsem plohoSRV:
[root@odoe-gateway root]# ipchains -I input 1 -s 10.75.1.11/255.255.255.255 -d 10.75.1.206/255.255.255.255 -i eth1 -p udp -j DENY MYIP:
+root@oasu1 ~+# nmap -n -sU -p 53,69 10.75.1.206
Starting nmap 3.30 ( http://www.insecure.org/nmap/ ) at 2003-09-04 16:54 EEST
Interesting ports on 10.75.1.206:
Port State Service
53/udp open domain
69/udp open tftp Nmap run completed -- 1 IP address (1 host up) scanned in 0.923 seconds i eshe razok +root@oasu1 ~+# nmap -v -n -sU -p 50-100 -T Insane 10.75.1.206 Starting nmap 3.30 ( http://www.insecure.org/nmap/ ) at 2003-09-04 16:50 EEST
Host 10.75.1.206 appears to be up ... good.
Initiating UDP Scan against 10.75.1.206 at 16:50
The UDP Scan took 3 seconds to scan 51 ports.
Adding open port 93/udp
Adding open port 53/udp
Adding open port 52/udp
Adding open port 81/udp
Adding open port 79/udp
Adding open port 91/udp
Adding open port 82/udp
Adding open port 78/udp
Adding open port 97/udp
Adding open port 71/udp
Adding open port 73/udp
Adding open port 88/udp
Adding open port 77/udp
Adding open port 57/udp
Adding open port 64/udp
Adding open port 84/udp
Adding open port 60/udp
Adding open port 75/udp
Adding open port 65/udp
Adding open port 94/udp
Adding open port 74/udp
Adding open port 76/udp
Adding open port 92/udp
Adding open port 98/udp
Adding open port 68/udp
Adding open port 72/udp
Adding open port 50/udp
Adding open port 90/udp
Adding open port 69/udp
Adding open port 63/udp
Adding open port 51/udp
Adding open port 86/udp
Adding open port 67/udp
Adding open port 55/udp
Adding open port 70/udp
Adding open port 100/udp
Adding open port 87/udp
Adding open port 89/udp
Adding open port 80/udp
Adding open port 99/udp
Adding open port 96/udp
Adding open port 85/udp
Adding open port 62/udp
Adding open port 54/udp
Adding open port 58/udp
Adding open port 59/udp
Adding open port 66/udp
Adding open port 61/udp
Adding open port 95/udp
Adding open port 83/udp
Adding open port 56/udp
(no udp responses received -- assuming all ports filtered)
All 51 scanned ports on 10.75.1.206 are: filtered Nmap run completed -- 1 IP address (1 host up) scanned in 4.011 seconds hmm... ? vo vtoroi raz - vse filtered SRV:
[root@odoe-gateway root]# ipchains -I input 1 -s 10.75.1.11/255.255.255.255 -d 10.75.1.206/255.255.255.255 -i eth1 -p udp -j ACCEPT MYIP:
+root@oasu1 ~+# nmap -v -n -sU 10.75.1.206
Starting nmap 3.30 ( http://www.insecure.org/nmap/ ) at 2003-09-04 16:40 EEST
Host 10.75.1.206 appears to be up ... good.
Initiating UDP Scan against 10.75.1.206 at 16:40
Too many drops ... increasing senddelay to 20000
...
postoianno uvelichivaet interval ojidaniia !!!
poetomu ia tak dolgo
...
^Ccaught SIGINT signal, cleaning up +root@oasu1 ~+# nmap -n -sU -p 53,69 10.75.1.206
Starting nmap 3.30 ( http://www.insecure.org/nmap/ ) at 2003-09-04 17:01 EEST
Interesting ports on 10.75.1.206:
Port State Service
53/udp open domain Nmap run completed -- 1 IP address (1 host up) scanned in 0.937 seconds
+root@oasu1 ~+# nmap -n -sU -p 53,69 10.75.1.206
Starting nmap 3.30 ( http://www.insecure.org/nmap/ ) at 2003-09-04 17:02 EEST
Interesting ports on 10.75.1.206:
Port State Service
53/udp open domain
69/udp open tftp Nmap run completed -- 1 IP address (1 host up) scanned in 0.939 seconds to bish oni u nego otkriti cherez raz na vsiakii sluchai:
SRV:
Linux odoe-gateway 2.2.25 #3 Fri Jul 4 13:07:21 EEST 2003 i686 unknown
Red Hat Linux release 7.3 (Valhalla)
[root@odoe-gateway root]# netstat -anu
udp 0 0 10.75.1.206:123 0.0.0.0:*
udp 0 0 127.0.0.1:123 0.0.0.0:*
udp 0 0 0.0.0.0:123 0.0.0.0:*
udp 0 0 0.0.0.0:3130 0.0.0.0:*
udp 0 0 0.0.0.0:1025 0.0.0.0:*
udp 0 0 0.0.0.0:517 0.0.0.0:*
udp 0 0 0.0.0.0:1024 0.0.0.0:*
udp 0 0 10.75.1.206:53 0.0.0.0:*
udp 0 0 127.0.0.1:53 0.0.0.0:*
[root@odoe-gateway root]# MYIP:
FreeBSD oasu1 4.6-RELEASE FreeBSD 4.6-RELEASE #0: Tue Jun 11 06:14:12 GMT 2002 \
murray@builder.freebsdmall.com:/usr/src/sys/compile/GENERIC i386
+root@oasu1 ~+# nmap -V
nmap version 3.30 ( http://www.insecure.org/nmap/ ) Alex
- v dogonku, alex, 18:17 , 04-Сен-03 (22)
>Сканирую внутренний интерфейс сканером. По udp портам получаю открытыми аж 24! Причем
>открыта всякая бяка типа tftp, rip, kerberos, wins...
eto prosto servici kotorie po umolchaniiu
skanil tvoi scanner, ostalinoe on propuskal, ... navernoAlex
- v dogonku, nikara, 18:52 , 04-Сен-03 (23)
>>Сканирую внутренний интерфейс сканером. По udp портам получаю открытыми аж 24! Причем
>>открыта всякая бяка типа tftp, rip, kerberos, wins...
> eto prosto servici kotorie po umolchaniiu
>skanil tvoi scanner, ostalinoe on propuskal, ... naverno
>
>Alex Что то я совсем запутался.... В виндовом сканере я выставил в настройках сканировать ВСЕ известные сервисы, хоть есз, хоть udp - и если я просто оставляю проавило
-A INPUT -p udp -j DROP то НИ ОДИН udp порт не отзывается...
Как у тебя это получается?
- v dogonku, alex, 20:05 , 04-Сен-03 (24)
>>>Сканирую внутренний интерфейс сканером. По udp портам получаю открытыми аж 24! Причем
>>>открыта всякая бяка типа tftp, rip, kerberos, wins...
>> eto prosto servici kotorie po umolchaniiu
>>skanil tvoi scanner, ostalinoe on propuskal, ... naverno
>>
>>Alex
>
>Что то я совсем запутался.... В виндовом сканере я выставил в настройках
>сканировать ВСЕ известные сервисы, хоть есз, хоть udp - и если
>я просто оставляю проавило
>-A INPUT -p udp -j DROP то НИ ОДИН udp порт не
>отзывается...
>Как у тебя это получается?
>
eto ne u menia, eto u nmap'a cherez raz
poluchaetsia chto port otkrit, kogda
na samom dele ono vse DENY
kstati stavil tcpdump dlia pushei
uverennosti, on okonchatelino podtverdil
chto u scannerov s udp laja
(logi ostalisi na rabote, no
v obshem sluchae esli port deistvitelino
otkrit s nego pri scane vozvrashetsia
udp packet, inache gluho, kak nmap
otlavlivaetsia na etom sam uma
ne priloju)Alex
|
Версия для распечатки
Непонятное поведение iptables. Пропускает udp пакеты!, 
