Como bloquear o telnet usando o comando iptables

0

Estou tentando bloquear o telnet no meu servidor, mas não consegui fazer isso. Eu adicionei seguintes regras de firewall na cadeia INPUT da tabela de filtros para o mesmo.

INPUT CHAIN(filter table):
<some other firewall rules>
iptables -A INPUT -p tcp --dport 23 -j DROP
iptables -A INPUT -i eth0.2 -j DROP

baseado em este tópico nos fóruns do Ubuntu. Mas eu estou vendo, eu ainda posso abrir o telnet no meu servidor. Eu também tenho alguns links para o problema acima, mas não estou recebendo ajuda. Por favor, deixe-me saber onde estou errado em adicionar regras.

    
por Amor 05.06.2015 / 09:12

1 resposta

2

Primeiro, você deve pensar da maneira oposta: você deve configurar o firewall do seu servidor para bloquear todas as portas exceto aquelas dos serviços que você executa na máquina. Por exemplo. para um servidor web HTTP / HTTPS que deve ser acessível via SSH, esta é a configuração relevante do iptables:

*filter 
:INPUT ACCEPT [0:0] 
:FORWARD ACCEPT [0:0] 
:OUTPUT ACCEPT [0:0] 
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT 
-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited 
COMMIT 

Em segundo lugar, sua máquina não deve ter um servidor telnet em execução. É um protocolo não criptografado e inseguro; configure o SSH.

Isso é apenas uma extrapolação da minha parte, mas suspeito que você queira impedir que usuários externos usem o telnet para sondar portas na sua máquina, por exemplo,

telnet yourhost 25

para investigar se há um servidor SMTP em execução. Se este for o caso, você não poderá pará-los - basta configurar o firewall para bloquear todas as conexões de entrada, exceto aquelas nas portas dos serviços em execução no servidor.

    
por 05.06.2015 / 09:22