Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » Zamykanie portów na serwerze oraz podział internetu
#1 2014-06-25 14:23:20
maca_maca - Użytkownik
- maca_maca
- Użytkownik
- Zarejestrowany: 2014-06-25
Zamykanie portów na serwerze oraz podział internetu
Cześć Wam wszystkim!
na początku się przedstawię jestem adminem nowego serwera debianowego w mojej małej firmie.
problem polega na tym że za diabły nie umiem sobie z nim poradzić a mianowicie:
- problem z otwartymi portami tcp (nie chcę ich blokować przez firewalla tylko chcę żeby były zamknięte wszystkie)
pytanie konkretne który plik konfiguracyjny muszę zmienić i jak żeby zamknąć wszystkie porty tcp?
lub czy jest jakieś skrypt który trzeba uruchomić żeby to zrobić?
- chcę mieć otwarty tylko jeden port na ssh oraz telneta (oba demony zainstalowane)
- permanentny problem z podziałem internetu, mam dwie karty sieciowe w serwerze proszę podajcie mi jak dla "osła" krok po kroku co zrobić, bo testowałem już chyba prawie wszystkie porady internetowe i nic.
Proszę od razu wszystkich czytających tego posta o niedenerwowanie się ze po raz kolejny ktoś zamiast używania szukajki pyta oto samo, wiem jak to denerwuje bo sam prowadzę duże forum. Proszę tylko weźcie pod wzgląd to że nie jestem informatykiem i nie chcę nim być , jestem szefem firmy który nie ma czasu na czytanie setek stron i zastanawianie sie która porada jest właściwa ale chcę jedynie ograniczyć dostęp swoich pracowników do stron "zakazanych" oraz prowadzić ich kontrolę aktywności w sieci.
Dla osób które chcą pomóc a zarazem trochę mnie nauczyć chętnie się zrewanżuję.
proszę o odpowiedzi konkretne bez zbędnych docinek :)
Marcin
strimer@strimer.pl
Offline
#2 2014-06-25 14:29:57
ethanak - 
Użytkownik
Re: Zamykanie portów na serwerze oraz podział internetu
zacznijmy od tego: które porty masz otwarte i (po wymienieniu) dlaczego je chcesz zamknąć.
co do podziału netu... wybacz, ale dokumentacja dostępna w sieci jest na tyle szczegółowa że nie ma sensu jakiekolwiek podawanie przykładów na forum. masz konkretny problem - ktoś pewnie pomoże.
a jeśli jesteś szefem firmy... może zatrudnij admina? bo to wyjdzie i szybciej, i taniej.
Ostatnio edytowany przez ethanak (2014-06-25 14:32:30)
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]
Offline
#3 2014-06-25 15:03:23
maca_maca - Użytkownik
- maca_maca
- Użytkownik
- Zarejestrowany: 2014-06-25
Re: Zamykanie portów na serwerze oraz podział internetu
system jest świeżo zainstalowany
otwarte porty
wydruk z nmapa
Not shown: 995 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp filtered ssh
80/tcp open http
443/tcp open https
631/tcp open ipp
w zamknięciu portów chodzi żeby był dostęp zdalny ssh lub telnet (najlepiej dla mnie telnet)
zatrudnianie admina na cały etat jest bez sensu bo serwer zrobiony dobrze a raz z moim nadzorem będzie chodził, chyba że admin z doskoku, to jest myśl. Tylko skąd go wziąć ? (bo z ogłoszenia to od razu będą chcieli tysiące zarabiać)
Offline
#4 2014-06-25 15:19:40
ethanak - Użytkownik
Re: Zamykanie portów na serwerze oraz podział internetu
otwarty port ftp oznacza, że masz uruchomiony serwer ftp. tyle. jeśli ftp na serwerze nie jest ci potrzebny - po prostu go odinstaluj. to samo dotyczy portów 80 i 443 (serwer www - jeśli nie potrzebujesz to odinstaluj).
z portem ipp... masz tam jakieś drukarki które udostępnia serwer? jeśli nie - po prostu wywal cupsa.
przy okazji - w bieżącym tysiącleciu nie widzę sensu demona telnet, czy naprawdę jest do czegoś potrzebny?
co do zatrudniania admina: nie masz nikogo znajomego, co się za stówkę od godziny zgodzi na opiekę nad serwerkiem? przecież nie musi być to pełny etat, a stówka każdemu się przyda... szczególnie że podstawa to będą dwie godziny pracy...
jeśli jesteś szefem firmy i nie masz nic wspòlnego z informatyką - nawet jeśli wyceniasz godzinę swojej pracy na 20 pln to i tak znalezienie dochodzącego admina będzie tańsze (przy caLym szacunku - mogę się założyć że w ciągu 10 godzin nie będziesz w stanie nawet zrozumieć tego, co trzeba zrobiç)
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]
Offline
#5 2014-06-25 15:20:57
svL - Użytkownik
- svL
- Użytkownik
- Zarejestrowany: 2007-06-17
Re: Zamykanie portów na serwerze oraz podział internetu
Wyłącz usługi, z których nie korzystasz. Zostaw ssh (najlepiej zmień port z 22 na jakiś wysoki), o telnecie zapomnij.
"God, root, what is difference?"
Offline
#6 2014-06-25 15:33:26
menel - Użytkownik
- menel
- Użytkownik
- Zarejestrowany: 2013-11-02
Re: Zamykanie portów na serwerze oraz podział internetu
mogę się założyć że w ciągu 10 godzin nie będziesz w stanie nawet zrozumieć tego, co trzeba zrobiç)[/quote]
a niby czemu, 10 piw albo flaszka trochę lektury i ogarnie;)
http://dug.net.pl/tekst/31/udostepnienie_polaczenia_internetowego_%28masq%29/
http://zsk.wsti.pl/publikacje/iptables_przystepnie.htm
http://www.debian.pl/content/402-Iptables-dla-pocz%C4%85tkuj%C4%85cych-cz-1
http://www.debian.pl/content/403-Iptables-dla-pocz%C4%85tkuj%C4%85cych-cz.-2
http://jakilinux.org/aplikacje/ujarzmij-squida-czesc-i-%E2%80%93-warstwa-sprzetowa/
http://jakilinux.org/aplikacje/ujarzmij-squida-czesc-ii-%E2%80%93-konfiguracja/
http://jakilinux.org/aplikacje/ujarzmij-squida-czesc-iii-sarg/
Offline
#7 2014-06-25 15:39:26
ethanak - Użytkownik
Re: Zamykanie portów na serwerze oraz podział internetu
tylko weź pod uwagę drobiazg - facet zarabia kasę na sprzedawaniu pietruszki, i 10 godzin spędzonych na znalezieniu najlepszej hurtowni warzyw to 10 godzin które się opłaciły.
10 godzin spędzonych na konfiguracji serwera i uczeniu się jakichś tam podstaw administracji to czas stracony.
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]
Offline
#8 2014-06-25 16:36:27
menel - Użytkownik
- menel
- Użytkownik
- Zarejestrowany: 2013-11-02
Re: Zamykanie portów na serwerze oraz podział internetu
jeżeli wszystko przeliczasz na hajsy to masz w zupełności rację, lepiej zatrudnić fachowca ale weź też pod uwagę, że za każdym razem będzie musiał bulić a jak raz ogarnie przez te kilkanaście godzin i się nauczy nie będzie musiał nikomu płacić i zawsze to coś nowego dla głowy a wiedzy "nabytej" za papierki nie kupisz;)
Ostatnio edytowany przez menel (2014-06-25 16:55:31)
Offline
#9 2014-06-26 11:49:04
maca_maca - Użytkownik
- maca_maca
- Użytkownik
- Zarejestrowany: 2014-06-25
Re: Zamykanie portów na serwerze oraz podział internetu
dzięki za wypowiedzi.
ftp-a już odinstalowuję
www również
drukarek nie udostępniam więc cups-a wywalam
ps no i odinstalowałem ftpa i nadal mam otwarty port :(
Offline
#10 2014-06-26 12:08:36
ethanak - Użytkownik
Re: Zamykanie portów na serwerze oraz podział internetu
a zrób mu po prostu reboot i zobacz co zostanie - czasem mimo odinstalowania usluga nie zostaje zatrzymana.
tak przy okazji - zamiast nmapem lepiej sprawdzić przez
Kod:
lsof -i -n
i popatrzeć na wszystko co zawiera LISTEN.
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]
Offline
#11 2014-06-27 08:09:58
maca_maca - Użytkownik
- maca_maca
- Użytkownik
- Zarejestrowany: 2014-06-25
Re: Zamykanie portów na serwerze oraz podział internetu
nieco się wyjaśniło :
internet mam z modemu (wraz z routerem) Huawei i to był problem, ponieważ miał zainstalowany wirtualny serwer którego parametrów nie dało się zmienić w ustawieniach. Nawet T-mobile nie pomógł. Kupiłem modem (z palca) i jest lepiej, okazało się że porty mam pozamykane, tylko teraz następny problem z utworzeniem sieci i internetu wewnątrz firmy.
Użyłem instrukcji http://dug.net.pl/tekst/31/udostepnienie_polaczenia_internetowego_%28masq%29/
i zamiast etho0 wpisałem ppp0 - niestety nie działa. Brama sieci w kompach wewnętrzynych jest widoczna ale brak dostępu do internetu.
Hilfe ! :)
Ps nie sprzedajemy marchewek tylko jesteśmy firmą produkcyjną i produkujemy izolatory do linii wysokich napięć. (to jak by ktoś był chętny)
Ostatnio edytowany przez maca_maca (2014-06-27 08:11:11)
Offline
#12 2014-06-27 09:28:51
ethanak - Użytkownik
Re: Zamykanie portów na serwerze oraz podział internetu
Czegoś mi tam w tym artykule brakuje...
Pokaż wynik:
Kod:
cat /etc/sysctl.conf | grep forward
Powinieneś mieć m.in. linię:
Kod:
net.ipv4.ip_forward=1
Jeśli jest zakomentowana lub zamiast 1 jest 0 zmień na taką jak wyżej i wydaj (z roota) polecenie:
Kod:
sysctl -p /etc/sysctl.conf
Jeśli już taka była to bez dostępu do maszyny to będziemy sobie wróżyć z fusów. Jeśli się zmieniło to daj znać. Sprawdzaj na końcówkach przez ping na adres IP a nie na nazwę (to wykluczy wszelkie machloje z niedziałającymi DNS-ami) - np.
Kod:
ping 213.180.141.140
a nie
Kod:
ping onet.pl
A tak w ogóle to Ty chcesz mieć router a nie serwer...
PS. Użyłem porównania z pietruszką jako przykładu branży dalekiej od informatyki. Mam nadzieję że się nie obraziłeś - moim zdaniem handel warzywami jest bardzo zacnym zajęciem!
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]
Offline
#13 2014-06-30 08:31:07
maca_maca - Użytkownik
- maca_maca
- Użytkownik
- Zarejestrowany: 2014-06-25
Re: Zamykanie portów na serwerze oraz podział internetu
no i pomogło
tą wartość miałem na 0 net.ipv4.ip_forward=1
dzielenie internetu działa, oraz blokowanie stron przez squida (nie wiedziałem że konfiguracja tego demona będzie tak prosta)
są jeszcze dwie rzeczy do zrobienia.
Połączenie internetowe mam na ppp0 jak zrobić żeby ppp0 startował wraz z systemem (jest to modem Huawei standardowy na usb)?
polecicie jakiś sprawdzony sposób ?
druga rzecz to pytanie czy jest możliwe aby cały ruch sieci wewnętrznej hostów był zapisywany do pliku, chodzi mi o wgląd na to na jakie strony pracownicy wchodzą- jet to możliwe?
Offline
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » Zamykanie portów na serwerze oraz podział internetu
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00013 | SET CHARSET latin2 |
| 0.00006 | SET NAMES latin2 |
| 0.00192 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.217.118.7' WHERE u.id=1 |
| 0.00100 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.217.118.7', 1732834137) |
| 0.00069 | SELECT * FROM punbb_online WHERE logged<1732833837 |
| 0.00070 | SELECT topic_id FROM punbb_posts WHERE id=270339 |
| 0.00008 | SELECT id FROM punbb_posts WHERE topic_id=26042 ORDER BY posted |
| 0.00066 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=26042 AND t.moved_to IS NULL |
| 0.00029 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00206 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=26042 ORDER BY p.id LIMIT 0,25 |
| 0.00121 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=26042 |
| Total query time: 0.0088 s | |