Sziasztok!
Az új Gutsy-n kívülről minden port zártnak látszik, de nem értem, hogy hol van beállítva a tűzfal.
Az iptables -L üreset mutat.
Ha elindítom az apache-ot, akkor az valahogy lyukat csinál magának a tűzfalon és a 80-as port látszik kívülről.
Ha ezután leállítom az apache-ot, akkor a lyuk megszűnik, és egy másik listener (a 80-as porton) újracsak nem látszik kívülről.
Hogy lehet ettől megszabadulni?
- 897 megtekintés
Hozzászólások
Úgy látom, mintha a Gutsyn a megszokott iptables féle tüzfalon kívül volna egy másik védelmi vonal is, amit nem ismerek, és azért nem tudom kinyitni. Ez megakadályozza, hogy saját szerverprogramot futtassak.
Olyan a helyzet, mint amikor az emberen a biztonság kedvéért nadrágtartó is van, meg derékszíj is van, és az egyiktől nem tud megszabadulni. Bizonyos helyzetekben kínos.
- A hozzászóláshoz be kell jelentkezni
Apparmor?
--
http://kac.duf.hu/~balage/blog
- A hozzászóláshoz be kell jelentkezni
man -k apparmor
apparmor: nothing appropriate
--
CCC3
- A hozzászóláshoz be kell jelentkezni
Bocs, ez a Feisty volt. A Gutsyn tényleg van apparmor.
- A hozzászóláshoz be kell jelentkezni
Megoldás:
Sokkal egyszerűbb, mint gondoltam, csak már rémeket látok. A /etc/hosts-ba bekerült egy rossz sor.
127.0.1.1 gepnev
Nem értem, hogy került oda. Persze rögtön jó lett, ahogy kivettem. Tehát nem apparmor ügy. Legalább most megnéztem, mi ez az apparmor.
--
CCC3
- A hozzászóláshoz be kell jelentkezni
Persze közben folyamatosan keresem a megoldást, többek között a guglin. És mit látok: kb. egy órán belül ez a post megjelent a google-ban:)
- A hozzászóláshoz be kell jelentkezni
... hát lehet, hogy rosszul értem, de Ubuntun alaphelyzetben nincs tűzfal, ezért mutat az "iptables -L" üreset. Ugyanakkor semmilyen (alaptelepítésű) program nem nyit portot, ezért "látszik zártnak" minden port. Ha az apache-ot elindítod, akkor az létrehozza/megnyitja a 80-as portot, és ezt látod kívülről, hiszen ezt nem akadályozza semmi. Nem értem, mitől akarsz "megszabadulni". Ha nem akarsz látni 80-as portot, akkor ne indítsd el az apache-ot (vagy konfiguráld máshogyan). Ha azt szeretnéd, hogy egy tűzfal szűrje az IP forgalmat portok (vagy más szempontok) szerint, akkor írj egy iptables szkriptet, vagy vedd igénybe a számtalan program egyikét, amelyik segít egy ilyen létrehozásában (pl. gnome-lokkit, guarddog, shorewall, stb.).
- A hozzászóláshoz be kell jelentkezni
Akkor nem érted miről van szó:
Van egy program, ami figyel mondjuk a 10000-es porton. A 10000-es port nem védett, bárki figyelhet rajta. C-ben socket, bind, listen, accept. Eddig OK?
Namost normál esetben, ha nincs bekapcsolva a tűzfal, akkor erre a portra konnektálni lehet kívülről (C-ben connect). Az esetemben azonban kívülről nem lehet rá konneltálni (csak belülről), noha nincs bekapcsolva semmilyen tűzfal. Ez itt a bökkenő.
Úgy képzelem, hogy az apache-nak valahogy meg van engedve, hogy portot nyisson, az én programomnak viszont nincs. Viszont bonyolítja a dolgot, hogy pár napja ugyanezt a tesztet ugyanezen a gépen már futtattam, és akkor nem akadtam fenn.
Az apparmorról még nem hallottam. Most, miután elment fél napom ezzel a szarsággal, rá kell áldozni a nap másik felét is, hogy felderítsem, hogy tényleg az apparmortól van-e ez, és hogyan lehet tőle megszabadulni.
--
CCC3
- A hozzászóláshoz be kell jelentkezni