Conexão estabelecida com uma porta bloqueada, o que isso significa?

Navegue suas respostas
1

Sou muito novo na administração do sistema e estou tentando me familiarizar mais com ferramentas como o netsat. Se eu executar netstat -n no meu servidor, vejo esta linha: 

tcp        0      0 xxx.xxx.xxx.xxx:44573          xxx.xxx.xxx.xxx:443         ESTABLISHED

No entanto, estou usando iptables com uma política padrão de DROP e 44573 não é uma das portas para as quais eu permito tráfego. Minhas regras ficam assim no iptables: 

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pcsync-https state NEW,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:21022 state NEW,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http state NEW,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https state NEW,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp state NEW,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpts:65500:65534
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:webcache state NEW,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:http state ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:https state ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere            icmp echo-reply
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     all  --  anywhere             anywhere
ACCEPT     udp  --  anywhere             anywhere            udp spt:domain
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp state NEW,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http limit: avg 25/min burst 100

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:pcsync-https state ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:21022 state ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:http state ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:https state ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:ftp state ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:webcache state ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http state NEW,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https state NEW,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     icmp --  anywhere             anywhere            icmp echo-reply
ACCEPT     all  --  anywhere             anywhere
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:smtp state ESTABLISHED

Alguém é capaz de lançar alguma luz sobre isso? Estou apenas interpretando errado?

    
por Brandon Wamboldt 11.02.2013 / 00:17

2 respostas

5

A explicação mais provável é que você está vendo uma conexão de saída da sua máquina para uma porta HTTPS. A porta 44573 é uma porta efêmera que um programa na sua máquina recebeu quando fez uma solicitação HTTPS de saída.

netstat não exibe especificamente saída versus entrada, mas como você não tem nenhum programa escutando na porta 44573, a porta 44573 está no intervalo de portas efêmeras e a porta da máquina remota (443) não é uma em o intervalo de portas efêmeras (e é uma porta usada para um protocolo de servidor comum), pode ser razoavelmente assegurado que é uma conexão de saída.

    
por 11.02.2013 / 00:20
1

Evan está bem correto.

Como um aparte, você tem:

Chain OUTPUT (política ACCEPT)

então uma série de regras ACCEPT na cadeia OUTPUT e nenhuma regra REJECT, portanto, além da saída da contabilidade, é completamente aberta.

Tudo bem se é o que você pretende ... mas eu esperaria ver uma regra de LOG para que você possa ver "tráfego inesperado mas ainda permitido" nas regras de saída e "tráfego inesperado e negado" nas regras de entrada. / p>

Além disso, se você não estiver realmente interessado na contabilização de pacotes, você pode ter apenas uma regra geral "- estado RELACIONADO, ESTABELECIDO - j ACEITAR" no topo do ENTRADA / SAÍDA

    
por 11.02.2013 / 01:20

Tags

Usuário do domínio efetuou login com o Perfil temporário no Windows Server 2008 R2 64 Bit OS Como encontrar o que um processo do Apache httpd está fazendo?