WN

WN (https://www.wn.se/forum/index.php)
-   Serversidans teknologier (https://www.wn.se/forum/forumdisplay.php?f=4)
-   -   Blockera anslutningar till IP (https://www.wn.se/forum/showthread.php?t=34770)

webbaccess 2009-01-29 05:18
Halloj...
Började få en del trafik så jag installerade snort på servern.
Har under en tid fått anslutningar som följande
Kod:
[**] [1:2050:7] MS-SQL version overflow attempt [**]
[Classification: Misc activity] [Priority: 3]
01/29-05:10:14.126973 218.22.xxx.xxx:3061 -> 87.237.xxx.xxx:1434
UDP TTL:99 TOS:0x0 ID:7117 IpLen:20 DgmLen:404
Len: 376
[Xref => http://cgi.nessus.org/plugins/dump.php3?id=10674][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0649][Xref => http://www.securityfocus.com/bid/5310]
Så min fråga är;
Hur blockerar jag port 1434 så dom inte kan ansluta? Har ingen MS-SQL server aktiv så det är egentligen inget större problem med säkerhetshål men vill gärna slippa raderna i loggarna.

Tack på förhand

Edit: Insåg att jag skrev fel i rubrik... Skulle skrivit "Blockera anslutningar till port", så om någon mod kan kanske ändra?

emilv 2009-01-29 07:32
Det unterlättar om du säger vilket operativsystem du kör :-)

najk 2009-01-29 07:33
Med en lämplig brandvägg, iptables, ipfw, pf.. mfl..
Ett tips är att du bör tänka tvärt om, öppna endast de portar du använder och sen blockera alla (resterande).

najk 2009-01-29 07:33
Citat:
Originally posted by emilv@Jan 29 2009, 07:32
Det unterlättar om du säger vilket operativsystem du kör :-)
Står i rubriken, "i Debian"

emilv 2009-01-29 07:48
Citat:
Ursprungligen postat av najk
Citat:
Ursprungligen postat av emilv
Det unterlättar om du säger vilket operativsystem du kör :-)
Står i rubriken, i Debian
Aha, jag brukar inte läsa de där smårubrikerna.

I Debian är iptables standardbrandväggen (liksom på de flesta andra distributioner).

iptables -A INPUT -p udp --dport 1434 -j REJECT
eller
iptables -A INPUT -p udp --dport 1434 -j DROP

Den senare skickar inget meddelande tillbaka om att den stängt anslutningen, den kastar bara paketen som de kommer in. Jag rekommenderar också att du har ett skript för dina iptables-regler så att du enkelt kan ladda in dem när du startat om datorn (fast du bör nog inte ha iptables som autostart). Och egentligen är det bättre att ha defaultpolicyn REJECT eller DROP och sedan bara tillåta de portar som du vill att man ska kunna ansluta till.


Alla tider är GMT +2. Klockan är nu 23:59.

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson