[debian/winxp] Firewalling

[JJzD]

hoi,

ik ben wat bezig met firewals instellen en nu heb ik 2 problemen
allereerst mijn debian install

daar heb ik /etc/inetd.conf zo bewerkt dat er all1 nog telnet opstart(kom ik zo op)

toch als ik een nmap op mijn eigen ip doe krijg ik nog dat naast de poorten die ik open wil (http,ftp, samba, telnet) er ook nog anderen open staan
dat zijn dan de volgende:
111 sunrpc
515 printer
1024 kdm

lijkt me niet dat die nodig zijn maar hoe moet ik die uitzetten?

daarnaast wil ik samba en telnet all1 vanaf mijn interne netwerk laten werken dus heb in iptables alvast iets geschreven dat alles gedropt word tenzij het uit intern netwerk en op de eth van het interne lan binnenkomt
is dat veilig of moet ik daar nog meer mee doen?
lsh-server start wel op geeft geen foutmeldingen maar toch refsed de connectie

daarnaast heb ik ook een nmap op mijn hoofdpc (winxp) uitgevoerd en bij een snelle scan kwam eruit dat ie dacht dat ie dood was
maar met de optie p0 vond hij 137/138 closed en 139 open
dat was vanaf dezelfde pc als waar ik net een mp3 vanaf aan het streamen was
dat is netbios maar als ik die verwijder kan ik zelf ook niet meer het netwerk op
(komen toch zometeen achter een firewall met snat te staan, maar zou toch wel graag weten wat ertegen te doen is)

de vragen op een rij
- Hoe sluit ik bepaalde services af vanaf opstarten (debian)
- hoe sluit ik samba en telnet zo goed mogelijk vanaf publiek internet af
- hoe schakel ik op winxp de netbios uit?

Citaat:

JJzD schreef op 01-04-2003 @ 09:36:
daar heb ik /etc/inetd.conf zo bewerkt dat er all1 nog telnet opstart(kom ik zo op)

toch als ik een nmap op mijn eigen ip doe krijg ik nog dat naast de poorten die ik open wil (http,ftp, samba, telnet) er ook nog anderen open staan
dat zijn dan de volgende:
111 sunrpc
515 printer
1024 kdm

lijkt me niet dat die nodig zijn maar hoe moet ik die uitzetten?

SunRPC komt van de portmapper af. Deze wordt niet via inetd.conf gestart, maar vanuit:

/etc/rcS.d/S41portmap

Dat script kun je gewoon in een 'disabled' subdir plaatsen en dan werkt het niet meer. Voor de rest: "killall portmap".

De printer komt ws. van de BSD print-spooler af. Kijk voor al deze dingen eens naar:

"netstat -tap"

En KDM is de KDE Display Manager geloof ik. Die staat ook ergens in je opstart-scripts en kun je er ook uitgooien.

Citaat:

JJzD schreef op 01-04-2003 @ 09:36:
daarnaast wil ik samba en telnet all1 vanaf mijn interne netwerk laten werken dus heb in iptables alvast iets geschreven dat alles gedropt word tenzij het uit intern netwerk en op de eth van het interne lan binnenkomt
is dat veilig of moet ik daar nog meer mee doen?

Zolang van buiten niet aanspreekbaar is, is het veilig.

Citaat:

maar met de optie p0 vond hij 137/138 closed en 139 open
dat was vanaf dezelfde pc als waar ik net een mp3 vanaf aan het streamen was
dat is netbios maar als ik die verwijder kan ik zelf ook niet meer het netwerk op
(komen toch zometeen achter een firewall met snat te staan, maar zou toch wel graag weten wat ertegen te doen is)

Dan zul je de server-service uit moeten schakelen op je PC. Ik ben alleen bang dat de browser-service dan ook niet meer wil

En je kunt natuurlijk niet beide hebben. Je kan niet zeggen van "ik wil bestanden delen, maar de poort moet dicht"

Trouwens, vervang telnet door SSH. Is wel zo veilig.

[JJzD]

Citaat:

******** schreef op 01-04-2003 @ 09:49:
Trouwens, vervang telnet door SSH. Is wel zo veilig.

was ik mee bezig
maar dat werkte niet zo
allemaal errors enzo
zometeen maar ff opnieuw proberen

ik heb de printer gewoon de installed
heb je eniog idee hoe ik uitvind waar die kdm word opgestart?

Citaat:

JJzD schreef op 01-04-2003 @ 12:11:
heb je eniog idee hoe ik uitvind waar die kdm word opgestart?

Check eerst ff je runlevel, zal wel 2 zijn:

[/etc/inittab]
id:2:initdefault:

Dit betekent dat KDM of in /etc/rcS.d (single user mode) of in /etc/rc2.d wordt opgestart

Staat daar een andere runlevel, zul je ook in rc(getal).d moeten kijken.

[zazzie]

een service belleten op te starten bij boot kan je imo het beste doen door het script dat daar voor zorgt chmod -x te doen...

Citaat:

zazzie schreef op 01-04-2003 @ 12:43:
een service belleten op te starten bij boot kan je imo het beste doen door het script dat daar voor zorgt chmod -x te doen...

Dat is wel zo, maar dan krijg je bij het opstarten steeds permission denied (tenzij het master script rekening ermee houdt door de eigenschappen te controleren).

Het is gewoon een oude gewoonte van mij om ze in een 'disabled' subdirectory te gooien. Als ik ze wil heractiveren, verplaats ik ze gewoon terug.

[zazzie]

Citaat:

******** schreef op 01-04-2003 @ 12:47:
Dat is wel zo, maar dan krijg je bij het opstarten steeds permission denied (tenzij het master script rekening ermee houdt door de eigenschappen te controleren).

Het is gewoon een oude gewoonte van mij om ze in een 'disabled' subdirectory te gooien. Als ik ze wil heractiveren, verplaats ik ze gewoon terug.

beter nog, het master script voert simpel weg alle executable scripts per runlevel, scripts die niet executable zijn zullen gewoon genegeerd worden...