Hallo zusammen,
habe mir ein Firewallscript mit Iptables entworfen.
http://www.linuxforen.de/forums/showthread.php?s=&threadid=75415
Alles läuft soweit, die gewünschten Ports sind offen, allerdings werden
beim Portscann noch zwei weitere offene Ports gemeldet und zwar:

- 111 sunrpc SUN Remote Procedure
- 6000 X Window System

Kann mir da jemand weiterhelfen woran das liege könnte und wie
ich das beheben könnte.
Wäre echt super. Warscheinlich gibts da ne ganz logische Erklärung dafür
aber ich bin zu dumm um drauf zu kommen :)

Hi,

wie hast du den Portscann gemacht? Von aussen oder von innen?

Den Port 111 verwenden einige Dienste zum authetifizieren, wie FTP z.B. Es geht auch ohne, aber meistens dauert es dann länger. Kannst du unter den Diensten die mit dem (x)inetd gestartet werden abschalten.

Der Port 6000 ist der Forward Port für deine X-Server, wo du den abschalten kannst weiss ich gerade nicht.. müsste aber irgendwo in den Konfigdateien des X-Servers gehen.

CU
JDuck001

den Scann habe ich von aussen gemacht!

Original geschrieben von jduck01

Den Port 111 verwenden einige Dienste zum authetifizieren, wie FTP z.B. Es geht auch ohne, aber meistens dauert es dann länger. Kannst du unter den Diensten die mit dem (x)inetd gestartet werden abschalten.


aehm, du verwechselst das mit port 113, nicht wahr?



Der Port 6000 ist der Forward Port für deine X-Server, wo du den abschalten kannst weiss ich gerade nicht.. müsste aber irgendwo in den Konfigdateien des X-Servers gehen.


den x-server mit '-nolisten tcp' starten sollte den port schliessen.

-j

Original geschrieben von Duffy1905
- 111 sunrpc SUN Remote Procedure


Remote Procedure Call ist eine geniale Erfindung von SUN. Das heisst lockd listed auf port 111 und vermittled die einkommendenen Dienste an sogenannte Programm Numbers (von SUN vergeben). die programm numbers sind in /etc/rpc zu sehen...

ach noch was RPC ist etwas unsicher ;)

cu
adme

und wie kann ich diesen Port schließen.
Ich verstehe das nicht so, ich hab doch in meinem
Iptablescript gesagt das alles zu ist!!!

Sorry für die warscheinlich sehr dummen fragen bin aber neu
auf dem Gebiet

Original geschrieben von adme
Das heisst lockd listed auf port 111 und vermittled die einkommendenen Dienste an sogenannte Programm Numbers (von SUN vergeben).


bist du dir sicher, dass lockd und nicht portmapper am port 111 lauscht?

-j

Original geschrieben von Jasper
bist du dir sicher, dass lockd und nicht portmapper am port 111 lauscht?

-j

# cat /etc/services | grep 111
sunrpc 111/udp rpcbind
sunrpc 111/tcp rpcbind


du hast recht... schande über mich

cu
adme

Original geschrieben von Duffy1905
und wie kann ich diesen Port schließen.
Ich verstehe das nicht so, ich hab doch in meinem
Iptablescript gesagt das alles zu ist!!!

Sorry für die warscheinlich sehr dummen fragen bin aber neu
auf dem Gebiet

aus deinem skript:

# freischalten von aktivem FTP
iptables -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 /
--dport ftp -m state --state NEW -j ACCEPT

# freischalten von passivem FTP
iptables -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 /
--dport 1024:65535 -m state --state NEW -j ACCEPT

die untere zeile macht port 6000 auf. werf diese zeilen raus und verwende connection_tracking. damit ist ftp freischalten sicher. für ftp gibt es ein conntrack modul (ip_conntrack_ftp).

generell würde ich dir empfehlen, fwbuilder (www.fwbuilder.org) zur erstellung zu verwenden.

-j

die zeilen hab schon vor ner weile wieder rausgenommen!!!
Daran kann es nicht liegen. Das liegt doch daran das ich KDE laufen habe
kann das sein?!!! (ich sag doch bin en totaler anfänger was Linux betrifft).
in nem anderen Runlevel (bsp rc2) zeigt er die zwei Ports nicht an.

Original geschrieben von Duffy1905
die zeilen hab schon vor ner weile wieder rausgenommen!!!
Daran kann es nicht liegen. Das liegt doch daran das ich KDE laufen habe
kann das sein?!!! (ich sag doch bin en totaler anfänger was Linux betrifft).
in nem anderen Runlevel (bsp rc2) zeigt er die zwei Ports nicht an.

weil dann wahrscheinlich kein X läuft. und wenn der port nicht belegt ist, zeigt ein portscan den port als closed an, was ja auch vollkommen korrekt ist.

-j

hi! du benutzt doch sicher kdm als login-manager oder ?
kdm sollte aber von haus aus so konfiguriert sein, dass der X-Server nicht lauscht.
zu ersehen bespielsweise in (abhängig von der distri ...) /etc/kde2/kdm/Xservers

da sollte sowas wie
:0 local@tty1 /usr/X11R6/bin/X -dpi 100 -nolisten tcp vt7
stehen

ob du portmap brauchst ? hm schwer zu sagen, aber generell sollte man alle unnötigen services schliessen.

soweit dazu, aber ohne aktuelle firewallconfig können wir hier auch nur ins blaue raten, warum die sich im Internet austoben können.

sers Udo
:ugly: