Как закрыть порт ?

[SYN]

При тестировании компьютера на сайте 2ip.ru по ссылке http://2ip.ru/port-scaner/ на открытые порты я получаю сообщение:

Код: [Выделить]

Port 53 (domain ) DNS Server
Обычно используется DNS сервером.

Количество открытых портов в вашей системе: 1
Настоятельно рекомендуется закрыть вышеуказанные порты !!!
Система Ubuntu 13/04. Я установил программу "Настройка межсетевого экрана" (брандмауэр со значком синего щита с белой полосой), но не знаю как сделать нужные настройки. Как мне закрыть указанный порт?

[ArcFi]

Код: [Выделить]

sudo ss -lnptu | sort?

[SYN]

По этой команде таккой вывод:

Код: [Выделить]

Netid  State      Recv-Q Send-Q     Local Address:Port       Peer Address:Port
tcp    LISTEN     0      128            127.0.0.1:631                   *:*      users:(("cupsd",1320,10))
tcp    LISTEN     0      128                  ::1:631                  :::*      users:(("cupsd",1320,9))
tcp    LISTEN     0      5              127.0.1.1:53                    *:*      users:(("dnsmasq",1940,5))
tcp    LISTEN     0      5                      *:8822                  *:*      users:(("smfpd",1356,3))
tcp    UNCONN     0      0              127.0.1.1:53                    *:*      users:(("dnsmasq",1940,4))
tcp    UNCONN     0      0                      *:1885                  *:*      users:(("dhclient",1936,20))
tcp    UNCONN     0      0                     :::2509                 :::*      users:(("dhclient",1936,21))
tcp    UNCONN     0      0                     :::35674                :::*      users:(("avahi-daemon",1280,16))
tcp    UNCONN     0      0                      *:5353                  *:*      users:(("avahi-daemon",1280,13))
tcp    UNCONN     0      0                     :::5353                 :::*      users:(("avahi-daemon",1280,14))
tcp    UNCONN     0      0                      *:57610                 *:*      users:(("avahi-daemon",1280,15))
tcp    UNCONN     0      0                      *:68                    *:*      users:(("dhclient",1936,6))



[ArcFi]

Судя по всему, у вас серый IP, а 53/tcp открыт на шлюзе провайдера.
Так что об этом можно не волноваться.

[SYN]

Спасибо за ответ.
Глянул в нете, насколько я понял серый адрес это локальный. У меня адрес 95.ххх.ххх.ххх т.е. не из области серых (адрес был определен на этом же сайте 2ip.ru). Соединение с интернет организовано с помощью локальной проводной сети через роутер Eltex, который в свою очередь подключен к опто-волокну от провайдера. Пробовал смотреть в его настройках как включить внутренний брандмауэр, настроек там фактически нет (пропустить или нет входящий или исходящий трафик, более ничего).

На другой машине с Linux Ubuntu 10/04 этот же тест показывает, что все порты закрыты, правда используется ADSL роутер с включенным внутренним брандмауэром.

Все таки не понятно, почему. Может быть есть где-то руководство по настройке межсетевого экрана с графическим окрежением? Или простое (на пальцах, понятное для простых пользователей) руководство по Iptables?

[| toZen |]

Код: [Выделить]

sudo ss -lnptu | sort?

Код: [Выделить]

Netid  State      Recv-Q Send-Q     Local Address:Port       Peer Address:Port
tcp    LISTEN     0      100                    *:25                    *:*      users:(("master",1638,12))
tcp    LISTEN     0      100                   :::25                   :::*      users:(("master",1638,13))
tcp    LISTEN     0      128            127.0.0.1:631                   *:*      users:(("cupsd",646,9))
tcp    LISTEN     0      128                  ::1:631                  :::*      users:(("cupsd",646,8))
tcp    LISTEN     0      5              127.0.0.1:53                    *:*      users:(("dnsmasq",2479,5))
udp    UNCONN     0      0              127.0.0.1:53                    *:*      users:(("dnsmasq",2479,4))
udp    UNCONN     0      0                      *:35440                 *:*      users:(("avahi-daemon",638,15))
udp    UNCONN     0      0                     :::48381                :::*      users:(("avahi-daemon",638,16))
udp    UNCONN     0      0                      *:5353                  *:*      users:(("avahi-daemon",638,13))
udp    UNCONN     0      0                     :::5353                 :::*      users:(("avahi-daemon",638,14))
udp    UNCONN     0      0                      *:68                    *:*      users:(("dhclient",1503,6))
а у мну - порядок?

[ArcFi]

SYN, у меня fedora, здесь есть firewalld и графическая морда к нему.
Как у убyнтах настроить по-простому, я хз, возможно через firestarter, но не исключено, что он уже протух.

Если будете ковырять iptables, то вот вам достаточно защищённая начальная конфигурация:
https://forum.ubuntu.ru/index.php?topic=218055.msg1686195#msg1686195

Тут руководства по iptables:
http://www.opennet.ru/docs/RUS/iptables/
http://easylinux.ru/node/190/

Автозагрузка правил на форуме тоже расписана:
http://www.google.ru/search?q=iptables+%D0%B0%D0%B2%D1%82%D0%BE%D0%B7%D0%B0%D0%B3%D1%80%D1%83%D0%B7%D0%BA%D0%B0&sitesearch=ubuntu.ru

***
τοΖεη, у вас активен почтовый сервер.
Либо отключить/закрыть, либо настроить и проверить на open-relay.

[yodev]

в терминале для 139-го tcp порта:
iptables -A INPUT -p -tcp --dport 139 -j REJECT
iptables -A OUTPUT -p tcp --sport 139 -j REJECT

[Alligatоr]

Если не ошибаюсь запрещающие правила обязательно должны быть сверху.

[v!tax]

в терминале для 139-го tcp порта:
iptables -A INPUT -p -tcp --dport 139 -j REJECT
iptables -A OUTPUT -p tcp --sport 139 -j REJECT

при чем здесь 139 порт?

[acidpeople]

ArcFi,

Как у убyнтах настроить по-простому, я хз, возможно через firestarter, но не исключено, что он уже протух.

Угу, подтух чутка, есть такое. Начиная с 12.04 и ядра 3.5. Не, работу он в принципе выполняет и в 13.04, и блочит и всё такое, пока, наверное. Но, вот мониторить - уже не мониторит. Придётся юзать совместно другую прогу, на предмет активных соединений. Что уже не совсем удобно.
А так, протух то он по ходу уже давным давно, ведь не развивается давно уже...
Да и судя по тому, как уже смотрю , третий релиз уже с поколеченным Фирестартером, и никто ничего не правит. На фиг видать не кому не надо. Значит - точно протух. Глядишь, через релиз-два и вообще перестанет работать. Лучше, тогда уж что то другое, изначально подыскивать, что б не привыкать, и не искать потом...

у меня fedora, здесь есть firewalld и графическая морда к нему

Очень понравился, но в 17ой что ли, в сразу зарелизинной у мну с ним не сложилось - глючил зараза, так и не победил. (просто , не критично и слишком не надо  наверное было).
Был бы очень признателен за наводку, гуглил в своё время на этот предмет - как бы прикрутить и возможно ли, что то наподобе Федоровского firewalld в Бубен. Так ничо путного и не нашёл и забыл. А так, есть ли аналоги, под Бубен, что б один в один как в Федора, firewalld?

[| toZen |]

а чем ufw плох-то?

[acidpeople]

а чем ufw плох-то?

А гуй нарпимер? Такого удобства и простоты как в Федора  firewalld и Firestarter в Убунте я не нашёл.
Gufw? - по мне , совсем не то.

[fisher74]

Если не ошибаюсь запрещающие правила обязательно должны быть сверху.

Ошибаетесь. Правила, как запрещающие, так и разрешающие, должны стоять в порядке соответствующем алгоритму построения защиты. Ещё возможна оптимизация (без нарушения алгоритма) порядка с учётом их читабельности администраторами.

[| toZen |]

τοΖεη, у вас активен почтовый сервер.
Либо отключить/закрыть, либо настроить и проверить на open-relay.

это какой номер порта? 25? так, у меня вроде на всех портах в списке приём нулевой... 
mailradar сообщил, что тест aborted, port 25 closed...
Пользователь решил продолжить мысль 27 Мая 2013, 23:01:44:acidpeople,
ну, не знаю, по мне так всё просто и понятно, простые правила для определённых задач домашней машины...
https://help.ubuntu.com/12.04/serverguide/firewall.html#firewall-ufw

# UPD #
так, до кучи, думал покрутить iptables, но столкнулся с такой вещью как пересборка ядра с включением iptables в оное...
задумался, или я мануал древний читаю (там ещё про ядра серии 2.4.ХХ), или ещё что... ведь какой смысл пересобирать ядро, если при ближайшем обновлении оного, опять придётся пересобирать?