LINUX.ORG.RU
ФорумSecurity

сканировать изнутри как-будто снаружи


0

0

как где-то было написано "безопасность - это состояние души". вот не спокойно моей душе а знаний малова-то, помогите люды ;0)

суть, посмотреть что открыто из портов и на каком интерфейсе. пользую nmap, играя за злоумышленника и iptables + iplog от "админа". Серверок занимается маскарадингом, прграммеры там чегой-то складывают по cvs, виндузятники свои шары имеют и "бегает" БД (postgresql). В планах завести ftp и http. мониторится удаленно по ssh. все настроил (немудреное это дело как оказалось), потом "смотрю" nmap и не понимаю: внутри локалки (nmap against 192.168.1.1) Port State Service 22/tcp open ssh 111/tcp open sunrpc 139/tcp open netbios-ssn 901/tcp open samba-swat 1016/tcp open unknown 1024/tcp open kdm 1026/tcp open LSA-or-nterm 2401/tcp open cvspserver 5432/tcp open postgres Remote operating system guess: Linux Kernel 2.4.0 - 2.5.20 Uptime 0.295 days (since Wed Sep 24 08:01:09 2003) TCP Sequence Prediction: Class=random positive increments Difficulty=3506407 (Good luck!) попытка глянуть снаружи (nmap against realIP) результат совершенно идентичный.

iptable пользует следующие правила # включаю маскарад iptable -t nat -A POSTROUTING -o eth0 -j MASQUERADE # сохраняю существующие соединения iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # открываемся для входящего трафика не с eth0 (из локалки только) iptables -A INPUT -m state --state NEW -i !eth0 -j ACCEPT # отрубаю нафик входящий трафик iptable -p INPUT DROP # как я понял, отрубаем возможность пользовать нас как форвард для редисок iptable -A FORWARD -i eth0 -o eth0 -j REJECT

вот и все. три вопроса: 1. почему nmap показывает открытыми (даже не фильтруемыми) порты, которые вроде как закрыты? (или не закрыты?) (или даже если я скармливаю nmap боевой IP, но скан-то происходит изнутри, то есть я открыт... а как иммитировать скан снаружи?) 2. что значит Difficulty=3506407 (Good luck!) в репорте nmap. Это приемлимый уровень или "раз плюнуть"? (на сайте insecure.org я что-то ничего не нашел, про это). 3. что за unknown сервис такой на 1016 порту? как это выяснить?

anonymous
какие ICMP пакеты нежелательно отсекать?
вопрос по iptables

(сори за первый пост... из-за мудрости чьей-то дефолтом стоит теховская разметка)

как где-то было написано "безопасность - это состояние души". вот не спокойно моей душе а знаний малова-то, помогите люды ;0)

суть, посмотреть что открыто из портов и на каком интерфейсе. пользую nmap, играя за злоумышленника и iptables + iplog от "админа". Серверок занимается маскарадингом, прграммеры там чегой-то складывают по cvs, виндузятники свои шары имеют и "бегает" БД (postgresql). В планах завести ftp и http. мониторится удаленно по ssh. все настроил (немудреное это дело как оказалось), потом "смотрю" nmap и не понимаю:
внутри локалки (nmap against 192.168.1.1)
Port State Service
22/tcp open ssh
111/tcp open sunrpc
139/tcp open netbios-ssn
901/tcp open samba-swat
1016/tcp open unknown
1024/tcp open kdm
1026/tcp open LSA-or-nterm
2401/tcp open cvspserver
5432/tcp open postgres
Remote operating system guess: Linux Kernel 2.4.0 - 2.5.20 Uptime 0.295 days (since Wed Sep 24 08:01:09 2003) TCP Sequence Prediction: Class=random positive increments Difficulty=3506407 (Good luck!)

попытка глянуть снаружи (nmap against realIP) - результат совершенно идентичный!!!

iptable пользует следующие правила
# включаю маскарад
iptable -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# сохраняю существующие соединения
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# открываемся для входящего трафика не с eth0 (из локалки только)
iptables -A INPUT -m state --state NEW -i !eth0 -j ACCEPT
# отрубаю нафик входящий трафик
iptable -p INPUT DROP
# как я понял, отрубаем возможность пользовать нас как форвард для редисок
iptable -A FORWARD -i eth0 -o eth0 -j REJECT

вот и все.три вопроса:
1. почему nmap показывает открытыми (даже не фильтруемыми) порты, которые вроде как закрыты? (или не закрыты?) (или даже если я скармливаю nmap боевой IP, но скан-то происходит изнутри, то есть я открыт... а как иммитировать скан снаружи?)
2. что значит Difficulty=3506407 (Good luck!) в репорте nmap. Это приемлимый уровень или "раз плюнуть"? (на сайте insecure.org я что-то ничего не нашел, про это).
3. что за unknown сервис такой на 1016 порту? как это выяснить?

anonymous
()

1. просканировать свой ip действительно снаружи, не делапя никаких допусков о том, как в линуксе обрабатываются локальные соединения
2. это приемлемый. это ироничное пожелание удачи тому, кто это собирается ломать
3. netstat -atp от рута. или lsof.

ivlad ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
какие ICMP пакеты нежелательно отсекать?
Security
вопрос по iptables