[РЕШЕНО] настройка iptables на десктопе

korobo4kin, фаервол создает такие правила при которых эти сервисы становятся недоступны извне,в данный момент у тебя похоже что не работает фаервол.а отсюда вывод что любой может через самбу допустим 139.445 порт зайти в твои папки

iptables -A INPUT -p tcp -m state --state NEW --dport 445 -j DROP

zen, советуешь не правильно,он пользуется самбой,и там вообще вроде как iptables не работает

Я как шаблон написал,по анологии пускай сам смотрит может ещё добавить -m conntrack чтобы применить уже для установленного соединения,насчёт samba незнаю у кого как,у меня всё,что нужно блокируется

zen:

у меня всё,что нужно блокируется

если SAMBA убрать, то перестанет работать VMwarePlayer ? Или я не верно понял зачем мне SAMBA?

pashka**, чтоб добавить правила в iptables мне нужно сначала отключить arno-iptables-firewall stop? Или это не обязательно?

sudo iptables -n -L -v --line-numbers для начала

korobo4kin, если ты откажешься от arno,тогда будешь юзать iptables на прямую.самба тебе для того что бы расшаривать папки по сети.

vincentgits:

если SAMBA убрать, то перестанет работать VMwarePlayer ? Или я не верно понял зачем мне SAMBA?

Если samba не нужен его вообще можно отключить либо заблокировать хождение пакетов вообще,смотри сам,
VMwarePlayer от этого не перестанет работать.. вообще если так одолевает уж тебя вопрос,открытых портов заблокируй вообще все соединения,стери все правила в ноль,и добавляй потом свои правила на основе тех программ,портов,сетей,ip-адресов, и.т.д что тебе нужны https://www.opennet.ru/docs/RUS/iptables/ почитай тут, здесь практически всё описано в понятном виде.

zen:

здесь практически всё описано в понятном виде.

Спасибо за ссылку. Это мой первый заход на Linux. Руководство iptables. Это типа изучить работу в AdobePhotoshop чтоб подправить пару крестиков на картинке. Сложно. Мне нужно всего лишь настроить десктоп. Потому выбрал arno-iptables-firewall. Простая конфигурация за пару кликов. В реальности результат не соответствует ожиданиям. Остались открытые порты.
Отключаю.
# arno-iptables-firewall stop
Arno's Iptables Firewall Script v2.0.1e
-------------------------------------------------------------------------------
Jun 27 12:19:58 Stopping Arno's Iptables Firewall v2.0.1e
Stopping (user) plugins...
Jun 27 12:19:58 FIREWALL DISABLED!
# nmap 127.0.0.1

Starting Nmap 6.47 ( http://nmap.org ) at 2016-06-27 12:20 CEST
Stats: 0:01:19 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 99.77% done; ETC: 12:21 (0:00:00 remaining)
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000014s latency).
Not shown: 996 closed ports
PORT STATE SERVICE
139/tcp open netbios-ssn
445/tcp open microsoft-ds
631/tcp open ipp
902/tcp open iss-realsecure

Nmap done: 1 IP address (1 host up) scanned in 89.78 seconds

Включаю.

arno-iptables-firewall start
Arno's Iptables Firewall Script v2.0.1e
-------------------------------------------------------------------------------
Platform: Linux 3.16.0-4-amd64 x86_64
Checking/probing Iptables modules:
Loaded kernel module ...
...

Jun 27 12:23:45 All firewall rules applied.

# nmap 127.0.01

Starting Nmap 6.47 ( http://nmap.org ) at 2016-06-27 12:24 CEST
Nmap scan report for 127.0.01 (127.0.0.1)
Host is up (0.0000030s latency).
rDNS record for 127.0.0.1: localhost
Not shown: 996 closed ports
PORT STATE SERVICE
139/tcp open netbios-ssn
445/tcp open microsoft-ds
631/tcp open ipp
902/tcp open iss-realsecure

Nmap done: 1 IP address (1 host up) scanned in 2.45 seconds

Вообще ничего не изменилось. Вмешательство arno ноль. Это нормально?

А онлайн сканер http://www.t1shopper.com показывает

80.x.x.x isn't responding on port 139 (netbios-ssn)
80.х.х.х isn't responding on port 445 (microsoft-ds)
80.х.х.х isn't responding on port 631 (ipp)
80.х.х.х isn't responding on port 902 (ideafarm-chat)
80.х.х.х is responding on port 5060 (sip)
80.х.х.х is responding on port 8089 ().

что-то я не то делаю...

korobo4kin, сканируешь не тем

korobo4kin, компьютер подключен напрямую к интеренету статическим присовением белого адреса?
или все-таки за каким-либо гейтом или роутером?
Сканируя снаружи - ты попадешь именно на шлюз этого IP. В случае серой адресации с натом - этот адрес и не будет являться твоим, по большому счету.

порт 5060, как подсказывают - обычно sip. Сервис вполне ip-телефонии может жить где-нибудь рядом локально, ну или просто предоставляться провайдером как доп услуга. и разумеется лезть за гейт
Также и про второй порт (8089) - можно спросить у провайдера - это их кухня.

Еще вариант прочекать хост на предмет слушаемых портов - lsof -i покажет все сетевые сокеты в системе.

lsof -i | grep :5060 - покажет процесс (если он есть) на котором живет активный листенер порта 5060

бляха, как это всё ...

Chocobo:

компьютер подключен напрямую к интеренету статическим присовением белого адреса? или все-таки за каким-либо гейтом или роутером?

Да обычный домашний комп. Подключен через fritz!box. IP вроде динамический.
Меня что колбасит? Human важную делает работу - лазит IE по сайтам с лихими хозяевами. Я ничего шкодного не делаю, но та сторона - хрен их знает. Потому не хочеться чтоб лишние "форточки" открыты были. Представляют ли дефолтные установки iptables угрозу? Может я зря и Вам и себе голову морочу?

korobo4kin, почитай про iptables,и о том какую он угрозу предоставляет.испытал множество гуевых способов управления iptables и ни одного толкового могу тебя заверить нет.делай всё ручками сам.

korobo4kin, вот на этом fritz!box и стоит посмотреть что открыто, ибо он является в вашем случае сетевым шлюзом. Настраивать взамиодействие с внешкой, то же ограничение или расшаривание портов - тоже логичней на нем, чем на конечном хосте

Можно дать nmap к нему для поиска - но возможно на лан-портах будут жить другие значения по открытым портам, ибо телефония (если вспомнить про sip) обычно живет на отдельном интерфейсе и в своём Vlan'е.

korobo4kin:

Представляют ли дефолтные установки iptables угрозу?

Нет. Для того чтоб случился секюрити-коллапс - нужно чтоб случились следующие сценарии:

1. порт действительно открыт на хосте сервисом телефонии - тогда опасным валидное приложение может стать лишь в случае 0-day именно сетевого толка. Плюс если оно ограничивается отдельным пользователем со своими привелегиями - с системой оно толком не сделает ничего.

2. Если порт открыт каким-то абсолютно левым приложением (да еще и от рута ) Здесь варианты развития событий могут быть куда плачевней, но главный вопрос один - откуда оно взялось? Вероятность получить что-либо подобного из родных или известных крупных репозиториев - стремится к 0. За сторонними стоит немножко поглядывать самостоятельно