Ports sollte ich blockieren

2692
lamcro

Ich habe vor kurzem einen Ubuntu-Server zu Hause eingerichtet, und als erstes habe ich die UFW-Firewall auf volle Leistung gestellt. Schlechter Zug. Ich konnte nicht mal "rlogin".

Ich habe die Firewall gerade deaktiviert und möchte sie korrekt einrichten.

Dies sind die Ziele für diesen Server:

  • Dateiserver.
  • Dynamische IP-Aktualisierung bei openDNS.com (Ich habe mehrere Computer zu Hause über einen Linksys-Router angeschlossen.)
  • Webserver

Welche Ports darf ich nicht sperren?

2
Ich nehme an, du meinst ssh und nicht wirklich rlogin? theotherreceive vor 15 Jahren 1
Du solltest das "nicht" wahrscheinlich wieder in den Titel schreiben. dlamblin vor 15 Jahren 1

5 Antworten auf die Frage

3
John T

135, 137, 138 und 139 werden alle für NetBIOS verwendet, was für Samba benötigt wird (wahrscheinlich die beste Wahl für einen Dateiserver, sofern Sie nicht webbasiert sind). Samba benötigt auch 445 (smb).

Der Standardport für DNS ist 53 .

Für einen Webserver natürlich Port 80 für Standard-HTTP. Wenn Sie nicht aus Sicherheitsgründen https benötigen, benötigen Sie auch 443 :)

s / OpenDNS / DNS / - und 22 für SSH nicht vergessen. grawity vor 15 Jahren 0
3
theotherreceive

Blockieren Sie keine Ports. Da Sie den Server steuern, sind die einzigen Ports, die geöffnet sein sollen (z. B. mit abgehörtem Port), dort, wo Sie sich entschieden haben, einen Dienst auszuführen, der diesen Port verwendet.

Ausgehender Verkehr:

  • Ich würde nichts davon filtern, wenn jemand Ihren Server gefährden würde, könnten Sie einfach die Firewall-Regeln deaktivieren.

Eingehender Verkehr:

  • Anstatt Ports zu blockieren, müssen Sie sicherstellen, dass auf die Ports, die Sie überwachen, nur von den Standorten aus zugegriffen wird, von denen aus Sie auf sie zugreifen möchten. Sie möchten Ihr Samba-Netzwerk wahrscheinlich nicht für das Internet öffnen. Möglicherweise möchten Sie auch einschränken, von wo aus auf Ihren Web- / SSH-Server zugegriffen werden kann
  • Sie benötigen nur Port 53, wenn Sie über einen DNS-Server verfügen, der nicht nur für die Verwendung von opendns geöffnet ist.
Ich stimme dir nicht zu. Alles sollte standardmäßig gesperrt sein. Öffnen Sie dann nur die Ports, die Sie tatsächlich verwenden. Dies ist "Firewall 101". Wenn Sie es nicht richtig machen wollen, können Sie es auch nicht stören. hotei vor 14 Jahren 0
3
dlamblin

Es kann darauf hingewiesen werden, dass rloginmehrere schwerwiegende Sicherheitsprobleme bestehen. Es ist wahrscheinlich am besten, dass Sie es nicht verwendet haben. Halten Sie zusätzlich zu den für Ihre Ziele genannten Ports auch Port 22 für SSH offen.

Ich höre oft Leute, die Telnet verwenden ... aber rlogin? Lamcro, du bist ernsthaft veraltet. (Auch wenn in kürzlich erschienenen Distributionen "rlogin" mit "ssh" verknüpft ist.) grawity vor 15 Jahren 0
Ich bin ein Sysadmin Noob. Es tut uns leid. lamcro vor 15 Jahren 0
2
nik

Halten Sie diese eingehenden Ports aus den beschriebenen Gründen offen.

  1. SSH-Port (tcp / 22) für den Fernzugriff auf den Server
    • Dateiserveranschlüsse (abhängig von den von Ihnen verwendeten Diensten; SAMBA, NFS, (S) FTP usw.)
    • Wenn Sie einen Webserver haben, der ausgeführt wird - tcp / 80 und | oder tcp / 443, falls erforderlich

Ihre Tags legen nahe, dass Sie ein Linksys-Gerät im Internetpfad haben.
Verwenden Sie die Firewall, um den eingehenden Internetverkehr zu begrenzen.

1
Mark van Lent

Wenn Sie möchten, dass in Zukunft weitere Dienste auf der Box ausgeführt werden, überprüfen Sie diese Liste der Anschlüsse, um zu sehen, welche Anschlüsse Ihr Dienst benötigt.