LINUX.ORG.RU
ФорумSecurity

Открытые порты кому принадлежат?


0

0

Задам вопрос, который для спецов может показаться странным, но для меня с некоторых пор не совсем.
Решил проверить порты:

[br]
deno@linux:~$ netstat -tn[br]
Активные соединения с интернетом (w/o servers)[br]
Proto Recv-Q Send-Q Local Address Foreign Address State      [br]
tcp        0      0 109.94.94.46:35052        74.125.39.113:80        ESTABLISHED[br]
tcp        0      0 10.124.178.139:49738      10.200.201.1:1723       ESTABLISHED[br]

В iptables порты 80 и 1723 мной открыты - это я вижу.
Но так же я вижу, что они доступны на удалённой стороне.
А с моей стороны к ним обращаются порты 35052 и 49738.

Собственно вопрос:
С помощью iptables мы организуем защиту компа и прописываем там доступные порты, как я раньше думал своего компьютера.
А получается, что я прописываю разрешённые порты удалённого компа.
Тогда объясните, плиз, как это относится к моей безопасности - не всё ли мне равно на какой порт на той стороне придёт мой запрос?



Последнее исправление: Bred (всего исправлений: 1)
Базы руткитов?
Хранение/генерация паролей

>Но так же я вижу, что они доступны на удалённой стороне.

они не открыты у тебя. они только на удаленной стороне. а ты к ним подключен (ESTABLISHED)

Тогда объясните, плиз, как это относится к моей безопасности - не всё ли мне равно на какой порт на той стороне придёт мой запрос?


все ровно наоборот. кури основы TCP

k0l0b0k ★★
()
Ответ на: комментарий от k0l0b0k

>кури основы TCP

Если бы предварительно не «курил», не спрашивал бы. Во многих руководствах говорится о проверке открытых портов на локальной машине. Я прежде так и считал.

Bred
() автор топика
Ответ на: комментарий от Bred

для обеспечения безопасности необходимо в первую очередь контролировать «слушающие» локальные порты (состояние LISTEN, netstat -nlA inet)

в вашем случае приведены исходящие соединения, их проверяют только по портам удаленного хоста.

k0l0b0k ★★
()
Ответ на: комментарий от k0l0b0k

Большое Спасибо!
Уже становится яснее. Если я правильно Вас понял - на локальной машине необходимо контролировать только «слушающие» порты? Они кстати у меня сконфигурированы только для исходящих и установленных соединений.
И второе - бывали ситуации, когда не получалось соединяться с каким либо сайтом или получить с него какую либо информацию. Приходилось выяснять какой порт у него требует этого соединения. Открывал у себя - т.е. я позволял своей машине исходящее соединение по этому порту и всё проходило нормально.
Как это понять?

Bred
() автор топика

Тут не написано, кто к кому обращается. Так указаны только локальные и удаленные адреса.

iptables/netfilter позволяет контролировать как локальные, так и удаленные порты. Для этого есть цепочки INPUT и OUTPUT, а также параметры --sport и --dport. Например, в INPUT --dport означает локальный порт, а --sport удаленный. В OUTPUT — наоборот.

Обычно на десктопах и простеньких серверах фильтруются только входящие соединения (INPUT) и, как правило, проверяются главным образом входящие порты (-A INPUT -p tcp --dport xxx). Исходящие соединения обычно разрешены (-P OUTPUT ACCEPT).

nnz ★★★★
()

> Тогда объясните, плиз, как это относится к моей безопасности - не всё ли мне равно на какой порт на той стороне придёт мой запрос?

От того, на какой удалённый порт придёт запрос зависит к какому сервису ты собственно будешь обращаться. А вот твой исходящий порт по этому же запросу уже да, без разницы.

С запущенными у тебя самого сервисами всё ровно наоборот. :)

tx
()

Если у вас возникает такой вопрос - значит вы плохо читали документацию.

Нарисуйте схему обмена трафика между двумя компьютерами.
Возьмите схему прохождения пакетов через фаерволл.
Станет понятней.

CyberTribe ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Базы руткитов?
Security
Хранение/генерация паролей