Доброго времени суток, товарищи, есть несколько вопросов по поводу безопасности сервера.
Вобщем есть сервер с виртуальным хостингом на борту c панелью ISPmanager и необходимо закрыть все ненужные порты, а точнее оставить доступными извне только нужные.
Имеем,
вывод # netstat -nlActive Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 127.0.0.1:60000 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:993 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:995 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:777 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 54.134.164.238:53 0.0.0.0:* LISTEN
tcp 0 0 54.134.164.237:53 0.0.0.0:* LISTEN
tcp 0 0 54.134.164.59:53 0.0.0.0:* LISTEN
tcp 0 0 54.134.165.45:53 0.0.0.0:* LISTEN
tcp 0 0 54.134.164.31:53 0.0.0.0:* LISTEN
tcp 0 0 54.134.164.36:53 0.0.0.0:* LISTEN
tcp 0 0 54.134.165.44:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN
tcp 0 0 54.134.164.59:25 0.0.0.0:* LISTEN
tcp 0 0 54.134.165.45:25 0.0.0.0:* LISTEN
tcp 0 0 54.134.164.36:25 0.0.0.0:* LISTEN
tcp 0 0 54.134.165.44:25 0.0.0.0:* LISTEN
tcp 0 0 54.134.164.31:25 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN
tcp6 0 0 :::7777 :::* LISTEN
tcp6 0 0 :::9090 :::* LISTEN
tcp6 0 0 :::9091 :::* LISTEN
tcp6 0 0 :::5222 :::* LISTEN
tcp6 0 0 :::5223 :::* LISTEN
tcp6 0 0 :::777 :::* LISTEN
tcp6 0 0 :::12 :::* LISTEN
tcp6 0 0 :::5229 :::* LISTEN
tcp6 0 0 :::8080 :::* LISTEN
tcp6 0 0 :::7443 :::* LISTEN
tcp6 0 0 :::5269 :::* LISTEN
tcp6 0 0 :::53 :::* LISTEN
tcp6 0 0 ::1:953 :::* LISTEN
tcp6 0 0 :::443 :::* LISTEN
tcp6 0 0 :::7070 :::* LISTEN
udp 0 0 0.0.0.0:42256 0.0.0.0:*
udp 0 0 0.0.0.0:161 0.0.0.0:*
udp 0 0 54.134.164.238:53 0.0.0.0:*
udp 0 0 54.134.164.237:53 0.0.0.0:*
udp 0 0 54.134.164.59:53 0.0.0.0:*
udp 0 0 54.134.165.45:53 0.0.0.0:*
udp 0 0 54.134.164.31:53 0.0.0.0:*
udp 0 0 54.134.164.36:53 0.0.0.0:*
udp 0 0 54.134.165.44:53 0.0.0.0:*
udp 0 0 127.0.0.1:53 0.0.0.0:*
udp 0 0 0.0.0.0:5353 0.0.0.0:*
udp6 0 0 :::53 :::*
udp6 0 0 :::5353 :::*
udp6 0 0 :::37233 :::*
Active UNIX domain sockets (only servers)
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ACC ] STREAM LISTENING 5916 /var/run/avahi-daemon /socket
unix 2 [ ACC ] STREAM LISTENING 5882 /var/run/dbus/system_ bus_socket
unix 2 [ ACC ] STREAM LISTENING 5862 /var/run/acpid.socket
unix 2 [ ACC ] STREAM LISTENING 97543 /tmp/ispmgr.sock
unix 2 [ ACC ] STREAM LISTENING 97545 /tmp/ispmgr.adm.sock
unix 2 [ ACC ] STREAM LISTENING 6309 /var/run/dovecot/auth -worker.2514
unix 2 [ ACC ] STREAM LISTENING 6302 /var/run/dovecot/dict -server
unix 2 [ ACC ] STREAM LISTENING 6632 /var/run/mysqld/mysql d.sock
unix 2 [ ACC ] STREAM LISTENING 6304 /var/run/dovecot/logi n/default
54.134* - это внешние ip адреса сервера.
И имеем правила:
iptables -A INPUT -p tcp -m multiport --dports 80,443,993,995,110,143,53,19991,25,777 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 7777,9090,9091,5222,12,5229,7443,5269,7070 -j ACCEPT
iptables -A INPUT -s 54.134.0.1/16 -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
Вроде бы все необходимые порты открыты, (хотя для чего половина этих портов я понятия не имею, но все же открыл их)
Но сайты сразу перестают работать, если прописать следующие 2 правила ниже:
iptables -A INPUT -p tcp -j DROP
iptables -A INPUT -j DROP
Вопрос, какие порты должны быть обязательно открыты, чтобы хотя бы сайты нормально работали по http и https? Вроде бы все что можно открыл уже но с двумя последними правилами ничего не работает, к сожалению.
Также хочу спросить для какой цели слушаются следующие порты и что они значат:
tcp 0 0 127.0.0.1:60000 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:993 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:995 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN
tcp6 0 0 :::7443 :::* LISTEN
tcp6 0 0 ::1:953 :::* LISTEN
udp 0 0 0.0.0.0:42256 0.0.0.0:*
udp 0 0 0.0.0.0:161 0.0.0.0:*
udp6 0 0 :::53 :::*
udp6 0 0 :::5353 :::*
udp6 0 0 :::37233 :::*
Также интересно почему одни и те же порты слушаются по tcp и tcp6?
И как работать с этим - :::* в iptables?
Заранее спасибо всем кто попробует помочь решить эти вопросы.
Вариант для распечатки
Информационная безопасность (Public)
(ok) on 16-Янв-10, 13:22 
