Iptables, aMule e port scanner

conrad0
(usa Slackware)

Enviado em 07/02/2009 - 15:25h

Olá a todos.
Uso Slackware e resolvi instalar o aMule.
Resolvi as dependências e o mesmo funciona "perfeitamente". Mas após esse processo uma dúvida surgiu. Meu iptables é iniciado automaticamente com o scrip do pppoe-start. Alterei as regras para que o mesmo libere as portas específicas do aMule (4662-4672) mas quando realizo um port scanner com o nmap no meu IP ele acusa a porta 4662 como aberta.
Pode parecer uma pergunta de newbbie mas, realmente, gostaria de saber se há solução para isso. Liberar a porta de uso do aMule mas evitando um port scanner.
As regras do meu iptables são as seguintes:

# Interface to Internet
EXTIF=ppp+

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -F FORWARD
iptables -F INPUT
iptables -F OUTPUT

#Libera portas para aMule
iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
iptables -A INPUT -p udp --dport 4665 -j ACCEPT
iptables -A INPUT -p udp --dport 4672 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 4662 -j ACCEPT
iptables -A OUTPUT -p udp --dport 4665 -j ACCEPT
iptables -A OUTPUT -p udp --dport 4672 -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Deny TCP and UDP packets to privileged ports
iptables -A INPUT -p udp -i $EXTIF --dport 0:1023 -j LOG
iptables -A INPUT -p tcp -i $EXTIF --dport 0:1023 -j LOG
iptables -A INPUT -p udp -i $EXTIF --dport 0:1023 -j DROP
iptables -A INPUT -p tcp -i $EXTIF --dport 0:1023 -j DROP

# Deny TCP connection attempts
iptables -A INPUT -i $EXTIF -p tcp --syn -j LOG
iptables -A INPUT -i $EXTIF -p tcp --syn -j DROP

# Deny ICMP echo-requests
iptables -A INPUT -i $EXTIF -p icmp --icmp-type echo-request -j DROP

# Deny any packets INPUT

iptables -A INPUT -p tcp --syn -j DROP

# Ignora pings
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

# Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 1/s -j RETURN
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
iptables -A FORWARD -m unclean -j DROP

A mesma coisa aconteceu quando configurei o "CUPS" mas após liberar o acesso aos usuários não necessitei mais liberar o acesso a ele.

Agradeço a atenção de todos.

Diede
(usa Debian)

Enviado em 07/02/2009 - 15:58h

O Port Scan acusa a porta como aberta, porque realmente ela está aberta!
Não há como fazer isto (uma porta aberta, porém fechada), a não ser com o uso do Layer-7. Onde você pode especificar um INPUT ACCEPT para o conteúdo do pacote.

conrad0
(usa Slackware)

Enviado em 07/02/2009 - 16:17h

Diede
Obrigado pela resposta.
Estou vendo que vou ter que compilar o Kernel para implementar o L7 ao iptables.

Abraçoss