portas não "stealthed" no firewall [RESOLVIDO]

DecioSP
(usa Slackware)

Enviado em 15/02/2010 - 06:54h

Você pode tentar o seguinte:
Faça aquela limpeza mencionada acima.
Levante o firewall (caso ele esteja abaixado)
Teste a porta, caso ela continue com problema, faça um netstat -a e veja o processo que está usando-a.
Você também pode usar fuser -n.
Outra grande ferramenta para testar vulnerabilidades é o nmap (insecure.org se eu não me engano)

pedrotr
(usa Ubuntu)

Enviado em 17/02/2010 - 00:48h

fiz o scan com Nmap e realmente aquelas portas estão sendo usadas....


Nmap scan report for 192.168.254.1
Host is up (0.000029s latency).
Not shown: 65529 closed ports
PORT STATE SERVICE
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
1008/tcp filtered ufsd
3128/tcp filtered squid-http
12345/tcp filtered netbus
12346/tcp filtered netbus
61351/tcp open unknown


...mas então, esse tal de Netbus não é um trojan?? como faço pra excluir esse negócio...
e como descobrir oq esta rodando nas portas 135 e 61351??

valeu

renato_pacheco
(usa Debian)

Enviado em 17/02/2010 - 07:13h

Pra vc verificar se tem algum serviço rodando nessa porta, digite:

# netstat -antp

pedrotr
(usa Ubuntu)

Enviado em 17/02/2010 - 11:20h

usei o comando netstat -antp... não apareceu nenhum serviço rodando por aquelas portas! só apareceu a porta 2020 do firefox e outras 2 ou 3 portas não relacionadas com aquelas la de cima...

e agora?

renato_pacheco
(usa Debian)

Enviado em 17/02/2010 - 11:49h

Isso indica q num tem nenhum serviço na sua máquina local q esteja utilizando essa porta.

elgio
(usa OpenSuSE)

Enviado em 17/02/2010 - 11:50h

Em todas as tuas opções, vi que usou INPUT como gancho para o iptables.

Isto só funciona para fechar a porta LOCAL do firewall, ou seja, se tens um roteador firewall e nele está esta regra, não conseguirás acessar a porta NELE, mas CONSEGUIRÁ acessar portas em máquinas roteadas por ele!!

Para fechar portas de máquinas roteadas por ele deve estar no gancho FORWARD.

Talvez seja este o teu problema.

Ou ainda pode ser que tenha uma regra antes desta que está liberando.
Sugiro DOIS testes:

a)
iptables -I FORWARD -p tcp --dport 12345:12346 -j DROP
(-I faz ela entrar no inicio, precedendo todas as demais)

se isto não funcionar, tente:

b)
iptables -I INPUT -p tcp --dport 12345:12346 -j DROP

E sim, você está certo em usar DROP!

Usando DROP a ferramenta de testes não terá nada de retorno. Se tu trocar por REJECT o teu firewall devolverá um ICMP de porta fechada, o que fará a tua ferramenta identificar como FILTRADA (ela saberá que um firewall fechou pois receberá um ICMP e não um TCP RESET).

pedrotr
(usa Ubuntu)

Enviado em 17/02/2010 - 12:54h

FIz oq vc falou, troquei o chain INPUT por FORWARD e acho q deu certo pq olha oq deu no nmap:

sudo nmap -sS -p 0-65535 192.168.254.2

Starting Nmap 5.21 ( http://nmap.org ) at 2010-02-17 12:28 AMST
Nmap scan report for 192.168.254.2
Host is up (0.000030s latency).
All 65536 scanned ports on 192.168.254.2 are closed

Nmap done: 1 IP address (1 host up) scanned in 5.14 seconds


isso significa q o firewall ta funcionando agora neh? mas no PC Flank continua dizendo q a porta 12345 ta closed e não Sthealthed... oq sera agora?

meinhardt_jgbr
(usa Debian)

Enviado em 18/02/2010 - 20:02h

Para confirmar, tente também fazer um teste com o ShieldsUp do GRC:

https://www.grc.com/x/ne.dll?bh0bkyd2

pedrotr
(usa Ubuntu)

Enviado em 20/02/2010 - 12:03h

agora acho q deu certo...

obrigado pela ajuda