LINUX.ORG.RU

История изменений

Исправление samson, (текущая версия) :

А вот автору топика, ксательно имено настройки фаервола на сервере, а не реакции nmap на закрытый порт, надо бы отметить, что такого правила (--dport 111 -j DROP) и быть не должно.

Фаервол (и не только) надо настраивать с точки зрения «deny all, accept только то что надо»

В простейшем случае, если надо разрешить ssh всем и открыть 80ый порт только для локалки, должно быть что то вроде: 

iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT              # accept ssh from all
iptables -A INPUT -i eth0_LAN -m state --state NEW -p tcp --dport 80 -j ACCEPT  # accept http connections from lan
iptables -P INPUT DROP

но не так: 

iptables -F
iptables -P INPUT ACCEPT
iptables -A INPUT -i eth1_WAN -p tcp --dport 80 -j DROP

Это только простейший пример для INPUT. Настроить можно как угодно, но все же...

Исправление samson, :

А вот автору топика, ксательно имено настройки фаервола на сервере, а не реакции nmap на закрытый порт, надо бы отметить, что такого правила (--dport 111 -j DROP) и быть не должно.

Фаервол (и не только) надо настраивать с точки зрения «deny all, accept только то что надо»

В простейшем случае, если надо разрешить ssh всем и открыть 80ый порт только для локалки, должно быть что то вроде: 

iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT              # accept ssh from all
iptables -A INPUT -i eth0_LAN -m state --state NEW -p tcp --dport 80 -j ACCEPT  # accept http connections from lan
iptables -P INPUT DROP

но не так: 

iptables -F
iptables -P INPUT ACCEPT
iptables -A INPUT -i eth1_WAN -p tcp --dport 80 -j DROP

Это только простейший пример для INPUT, настроить можно как угодно, но все же...

Исходная версия samson, :

А вот автору топика, ксательно имено настройки фаервола на сервере, а не реакции nmap на закрытый порт, надо бы отметить, что такого правила (--dport 111 -j DROP) и быть не должно.

Фаервол (и не только) надо настраивать с точки зрения «deny all, accept только то что надо»

В простейшем случае, если надо разрешить ssh всем и открыть 80ый порт только для локалки, должно быть что то вроде: 

iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT              # accept ssh from all
iptables -A INPUT -i eth0_LAN -m state --state NEW -p tcp --dport 80 -j ACCEPT  # accept http connections from lan
iptables -P INPUT DROP

но не так: 

iptables -F
iptables -P INPUT ACCEPT
iptables -A INPUT -i eth1_WAN -p tcp --dport 80 -j DROP

Это только пример, настроить можно как угодно, но все же...