[ubuntu-ar] problemas para cerrar puertos solucionado
sandro
caixero at gmail.com
Thu Feb 19 10:11:08 GMT 2009
>
> ------------------------------------------------------------------------
>
> Asunto:
> Re: [ubuntu-ar] problemas para cerrar puertos
> De:
> Pablo Lillia <pablofer72 en yahoo.com.ar>
> Fecha:
> Wed, 18 Feb 2009 18:28:09 -0300
> A:
> Ubuntu User Group Argentina <ubuntu-ar en lists.ubuntu.com>
>
> A:
> Ubuntu User Group Argentina <ubuntu-ar en lists.ubuntu.com>
>
>
> El 18/02/2009 07:34, sandro escribió:
>
>>> ------------------------------------------------------------------------
>>>
>>> Asunto:
>>> Re: [ubuntu-ar] problema para cerrar puertos
>>> De:
>>> Lucas Cardoso <lucasecardoso en gmail.com>
>>> Fecha:
>>> Tue, 17 Feb 2009 09:00:09 -0300
>>> A:
>>> Ubuntu User Group Argentina <ubuntu-ar en lists.ubuntu.com>
>>>
>>> A:
>>> Ubuntu User Group Argentina <ubuntu-ar en lists.ubuntu.com>
>>>
>>>
>>> 2009/2/17 sandro <caixero en gmail.com>:
>>>
>>>
>>>> hola me parece que no fui explicito, el que comparte la conexion a
>>>> internet es mi xubuntu y justamente lo que pregunto es como cierro el
>>>> 901 para que no se tenga acceso desde internet.
>>>> muchisimas gracias por interesarte
>>>>
>>>>
>>>>
>>> Entiendo...
>>>
>>> Me parece que lo más razonable es hacer un filtro por IP con iptables.
>>> O sea, que no cualquier paquete pueda entrar al puerto 901, sino sólo
>>> aquellos provenientes de una IP o un rango de IPs en particular
>>> (192.168.1.xxx por ej, depende de tu LAN).
>>>
>>> No recuerdo cómo hacer eso con iptables (no soy un experto en redes,
>>> como dije anteriormente), pero tiene que estar en la documentación.
>>>
>>>
>>>
>>>
>>> ------------------------------------------------------------------------
>>>
>>> Asunto:
>>> Re: [ubuntu-ar] problema para cerrar puertos
>>> De:
>>> Jose Maria Schenone <jomax en dotlinux.com.ar>
>>> Fecha:
>>> Tue, 17 Feb 2009 10:17:09 -0200
>>> A:
>>> Ubuntu User Group Argentina <ubuntu-ar en lists.ubuntu.com>
>>>
>>> A:
>>> Ubuntu User Group Argentina <ubuntu-ar en lists.ubuntu.com>
>>>
>>>
>>> 2009/2/17 Lucas Cardoso <lucasecardoso en gmail.com>:
>>>
>>>
>>>> 2009/2/17 sandro <caixero en gmail.com>:
>>>>
>>>>
>>>>> hola me parece que no fui explicito, el que comparte la conexion a
>>>>> internet es mi xubuntu y justamente lo que pregunto es como cierro el
>>>>> 901 para que no se tenga acceso desde internet.
>>>>> muchisimas gracias por interesarte
>>>>>
>>>>>
>>>>>
>>>> Entiendo...
>>>>
>>>> Me parece que lo más razonable es hacer un filtro por IP con iptables.
>>>> O sea, que no cualquier paquete pueda entrar al puerto 901, sino sólo
>>>> aquellos provenientes de una IP o un rango de IPs en particular
>>>> (192.168.1.xxx por ej, depende de tu LAN).
>>>>
>>>> No recuerdo cómo hacer eso con iptables (no soy un experto en redes,
>>>> como dije anteriormente), pero tiene que estar en la documentación.
>>>>
>>>>
>>>> --
>>>> Lucas Cardoso
>>>>
>>>> --
>>>> Ubuntu-ar lista de correo
>>>> Ubuntu-ar en lists.ubuntu.com
>>>> Modifica tus opciones o desuscribite en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
>>>> Siempre leer, comprender y aplicar nuestra etiqueta: https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML
>>>>
>>>>
>>>>
>>>>
>>> Deberias poner algo asi, pero sino conocemos como tienes armada tu red
>>> (interfaces conectadas, etc) es dificil.
>>>
>>> iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 901 -j DROP
>>> iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 901 -j DROP
>>>
>>> Se mas claro y explica mejor cuantas placas de red tiene xubuntu,
>>> recibe conexion a inet directamente, el scan lo hiciste desde afuera o
>>> desde adentro?
>>>
>>> Salu2
>>>
>>>
>>>
>>> ------------------------------------------------------------------------
>>>
>>> Asunto:
>>> Re: [ubuntu-ar] problema para cerrar puertos
>>> De:
>>> Mariano Mara <marplatense en ubuntu.com>
>>> Fecha:
>>> Tue, 17 Feb 2009 10:33:26 -0200
>>> A:
>>> Ubuntu User Group Argentina <ubuntu-ar en lists.ubuntu.com>
>>>
>>> A:
>>> Ubuntu User Group Argentina <ubuntu-ar en lists.ubuntu.com>
>>>
>>>
>>> On 17.02.09 09:00, Lucas Cardoso wrote:
>>>
>>>
>>>> 2009/2/17 sandro <caixero en gmail.com>:
>>>>
>>>>
>>>>> hola me parece que no fui explicito, el que comparte la conexion a
>>>>> internet es mi xubuntu y justamente lo que pregunto es como cierro el
>>>>> 901 para que no se tenga acceso desde internet.
>>>>> muchisimas gracias por interesarte
>>>>>
>>>>>
>>>>>
>>>> Entiendo...
>>>>
>>>> Me parece que lo más razonable es hacer un filtro por IP con iptables.
>>>> O sea, que no cualquier paquete pueda entrar al puerto 901, sino sólo
>>>> aquellos provenientes de una IP o un rango de IPs en particular
>>>> (192.168.1.xxx por ej, depende de tu LAN).
>>>>
>>>> No recuerdo cómo hacer eso con iptables (no soy un experto en redes,
>>>> como dije anteriormente), pero tiene que estar en la documentación.
>>>>
>>>>
>>>>
>>>>
>>> ¿Entendés inglés? Esta artículo es cortito pero te da un punto de
>>> partida para tener algo hecho y además empezar a investigar.
>>>
>>> http://articles.slicehost.com/2008/11/28/ubuntu-intrepid-setup-page-1
>>>
>>>
>>>
>>>
>>>
>>>
>>> ------------------------------------------------------------------------
>>>
>>> Asunto:
>>> Re: [ubuntu-ar] problema para cerrar puertos
>>> De:
>>> Lucas Cardoso <lucasecardoso en gmail.com>
>>> Fecha:
>>> Tue, 17 Feb 2009 09:53:23 -0300
>>> A:
>>> Ubuntu User Group Argentina <ubuntu-ar en lists.ubuntu.com>
>>>
>>> A:
>>> Ubuntu User Group Argentina <ubuntu-ar en lists.ubuntu.com>
>>>
>>>
>>> On Tue, Feb 17, 2009 at 9:17 AM, Jose Maria Schenone
>>> <jomax en dotlinux.com.ar> wrote:
>>>
>>>
>>>> 2009/2/17 Lucas Cardoso <lucasecardoso en gmail.com>:
>>>>
>>>>
>>>>> 2009/2/17 sandro <caixero en gmail.com>:
>>>>>
>>>>>
>>>>>> hola me parece que no fui explicito, el que comparte la conexion a
>>>>>> internet es mi xubuntu y justamente lo que pregunto es como cierro el
>>>>>> 901 para que no se tenga acceso desde internet.
>>>>>> muchisimas gracias por interesarte
>>>>>>
>>>>>>
>>>>>>
>>>>> Entiendo...
>>>>>
>>>>> Me parece que lo más razonable es hacer un filtro por IP con iptables.
>>>>> O sea, que no cualquier paquete pueda entrar al puerto 901, sino sólo
>>>>> aquellos provenientes de una IP o un rango de IPs en particular
>>>>> (192.168.1.xxx por ej, depende de tu LAN).
>>>>>
>>>>> No recuerdo cómo hacer eso con iptables (no soy un experto en redes,
>>>>> como dije anteriormente), pero tiene que estar en la documentación.
>>>>>
>>>>>
>>>>> --
>>>>> Lucas Cardoso
>>>>>
>>>>> --
>>>>> Ubuntu-ar lista de correo
>>>>> Ubuntu-ar en lists.ubuntu.com
>>>>> Modifica tus opciones o desuscribite en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
>>>>> Siempre leer, comprender y aplicar nuestra etiqueta: https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML
>>>>>
>>>>>
>>>>>
>>>>>
>>>> Deberias poner algo asi, pero sino conocemos como tienes armada tu red
>>>> (interfaces conectadas, etc) es dificil.
>>>>
>>>> iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 901 -j DROP
>>>> iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 901 -j DROP
>>>>
>>>> Se mas claro y explica mejor cuantas placas de red tiene xubuntu,
>>>> recibe conexion a inet directamente, el scan lo hiciste desde afuera o
>>>> desde adentro?
>>>>
>>>> Salu2
>>>>
>>>>
>>>>
>>> También podés DROPpear todos los paquetes que entren por el puerto 901
>>> en la interfaz que sale directamente a la red.
>>>
>>>
>> Saludo a todos, primero que nada muchisimas gracias por vuestra ayuda,
>> voy a ponerme a estudiar un poco de iptables sino me voy a la lona (esa
>> es la voz que me sale de la cabeza al final de cada ayuda jajajajajaaj),
>> apenas lo tengo solucionado les cuento que es al final lo que hice.
>> para los que querian mas data aca les paso mi ifconfig asi ven
>> acabadamente como esta configurada mi red
>>
>> eth0 Link encap:Ethernet direcciónHW 00:03:47:70:22:ad
>> inet dirección:192.168.0.10 Difusión:192.168.0.255
>> Máscara:255.255.255.0
>> ARRIBA DIFUSIÓN MULTICAST MTU:1500 Métrica:1
>> RX packets:0 errors:0 dropped:0 overruns:0 frame:0
>> TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
>> colisiones:0 txqueuelen:1000
>> RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
>>
>> lo Link encap:Bucle local
>> inet dirección:127.0.0.1 Máscara:255.0.0.0
>> ARRIBA LOOPBACK CORRIENDO MTU:16436 Métrica:1
>> RX packets:318 errors:0 dropped:0 overruns:0 frame:0
>> TX packets:318 errors:0 dropped:0 overruns:0 carrier:0
>> colisiones:0 txqueuelen:0
>> RX bytes:23568 (23.0 KB) TX bytes:23568 (23.0 KB)
>>
>> nas0 Link encap:Ethernet direcciónHW 00:0e:50:e3:22:55
>> inet dirección:192.168.0.1 Difusión:192.168.0.255
>> Máscara:255.255.255.0
>> ARRIBA DIFUSIÓN CORRIENDO MULTICAST MTU:1500 Métrica:1
>> RX packets:2899 errors:0 dropped:0 overruns:0 frame:0
>> TX packets:2833 errors:4 dropped:0 overruns:4 carrier:0
>> colisiones:0 txqueuelen:1000
>> RX bytes:2080965 (1.9 MB) TX bytes:553782 (540.8 KB)
>>
>> ppp0 Link encap:Protocolo punto a punto
>> inet dirección:190.177.199.231 P-t-P:200.51.241.187
>> Máscara:255.255.255.255
>> ARRIBA PUNTO A PUNTO CORRIENDO NOARP MULTICAST MTU:1492
>> Métrica:1
>> RX packets:2845 errors:0 dropped:0 overruns:0 frame:0
>> TX packets:2772 errors:0 dropped:0 overruns:0 carrier:0
>> colisiones:0 txqueuelen:3
>> RX bytes:2056101 (1.9 MB) TX bytes:462557 (451.7 KB)
>>
>>
>>> Asunto:
>>> Re: [ubuntu-ar] [Bulk] Re: problema para cerrar puertos
>>> De:
>>> Pablo Lillia <pablofer72 en yahoo.com.ar>
>>> Fecha:
>>> Tue, 17 Feb 2009 18:53:21 -0300
>>> A:
>>> Ubuntu User Group Argentina <ubuntu-ar en lists.ubuntu.com>
>>>
>>> A:
>>> Ubuntu User Group Argentina <ubuntu-ar en lists.ubuntu.com>
>>>
>>>
>>> El 17/02/2009 09:53, Lucas Cardoso escribió:
>>>
>>>
>>>> On Tue, Feb 17, 2009 at 9:17 AM, Jose Maria Schenone
>>>> <jomax en dotlinux.com.ar> wrote:
>>>>
>>>>
>>>>> 2009/2/17 Lucas Cardoso <lucasecardoso en gmail.com>:
>>>>>
>>>>>
>>>>>> 2009/2/17 sandro <caixero en gmail.com>:
>>>>>>
>>>>>>
>>>>>>> hola me parece que no fui explicito, el que comparte la conexion a
>>>>>>> internet es mi xubuntu y justamente lo que pregunto es como cierro el
>>>>>>> 901 para que no se tenga acceso desde internet.
>>>>>>> muchisimas gracias por interesarte
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>> Entiendo...
>>>>>>
>>>>>> Me parece que lo más razonable es hacer un filtro por IP con iptables.
>>>>>> O sea, que no cualquier paquete pueda entrar al puerto 901, sino sólo
>>>>>> aquellos provenientes de una IP o un rango de IPs en particular
>>>>>> (192.168.1.xxx por ej, depende de tu LAN).
>>>>>>
>>>>>> No recuerdo cómo hacer eso con iptables (no soy un experto en redes,
>>>>>> como dije anteriormente), pero tiene que estar en la documentación.
>>>>>>
>>>>>>
>>>>>> --
>>>>>> Lucas Cardoso
>>>>>>
>>>>>> --
>>>>>> Ubuntu-ar lista de correo
>>>>>> Ubuntu-ar en lists.ubuntu.com
>>>>>> Modifica tus opciones o desuscribite en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
>>>>>> Siempre leer, comprender y aplicar nuestra etiqueta: https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>> Deberias poner algo asi, pero sino conocemos como tienes armada tu red
>>>>> (interfaces conectadas, etc) es dificil.
>>>>>
>>>>> iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 901 -j DROP
>>>>> iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 901 -j DROP
>>>>>
>>>>> Se mas claro y explica mejor cuantas placas de red tiene xubuntu,
>>>>> recibe conexion a inet directamente, el scan lo hiciste desde afuera o
>>>>> desde adentro?
>>>>>
>>>>> Salu2
>>>>>
>>>>>
>>>>>
>>>> También podés DROPpear todos los paquetes que entren por el puerto 901
>>>> en la interfaz que sale directamente a la red.
>>>>
>>>>
>>>>
>>>>
>>>>
>>> Aparte de configurar IPTABLES, hay otra opción: configurar SWAT para que
>>> solo "escuche" en localhost. Lo mejor es hacer ambas cosas ;)
>>>
>>> Editá el archivo inetd.conf, con
>>> sudo gedit /etc/inetd.conf
>>>
>>> Hay una línea que dice:
>>>
>>> swat stream tcp nowait.400 root /usr/sbin/tcpd /usr/sbin/swat
>>>
>>> Agregale 127.0.0.1: justo antes de la primer palabra swat, para que
>>> quede así:
>>>
>>> 127.0.0.1:swat stream tcp nowait.400 root /usr/sbin/tcpd /usr/sbin/swat
>>>
>>> Y reiniciá el servicio de SWAT:
>>>
>>> /etc/init.d/openbsd-inetd restart
>>>
>>> Fijate antes y después en qué direcciones está escuchando con:
>>> netstat -nat | grep 901
>>>
>>> Debería decirte que solo escucha en localhost: 127.0.0.1:901 (y antes
>>> decía 0.0.0.0:901 que es todas las IPs locales)
>>>
>>> Saludos,
>>> Pablo
>>>
>>>
>>>
>>>
>>>
>>>
>> sisi esa opcion la habia pensado, pero es que mi maldita curiosidad a
>> veces no me deja dormir y me estaba ronfddando en la cabeza justamente
>> ese tema, como puede ser que si le acivo el firewall el puerto quede
>> abierto????, pero en fin no me queda otra que ponerme a estudiar un poco
>> iptables ( que no me va a venir nada mal) asi que cuando tenga tiempo me
>> voy a poner a estudiar un poco
>>
>> muchas gracias por interesarte
>>
>>
>
> También tiene que ver con la política por default para recibir
> conexiones desde "afuera". Sería mejor que la misma sea DROP (no aceptar
> nada), excepto los servicios que vos abras explícitamente.
>
> Si el default es aceptar, e instalás un paquete que corra un servicio
> sin darte cuenta, quedará abierto sin querer :)
> Y si es al revés, a lo sumo cuando no te puedas conectar, te vas a
> acordar de que tenías que abrirlo. Prefiero esto. Solo recordá poner
> antes (en el orden) los aceptar que la política por default (drop).
>
> Slds.-
> Pablo
>
>
Bueno les cuento como lo solucione rapidamente con firestarter, en la
spreferencias firestarter tiene una opcion de rechazar los paquetes
entrantes por la interface publica, asi que clickee alli y solucionado (
y gane tiempo para poder estudiar mas tranquilo iptables jajajajajaj),
mil gracias a todos por el interes, el tiempo y la ayuda
More information about the Ubuntu-ar
mailing list