netstat firewalld

14 envíos / 0 nuevos
Último envío
#1 Dom, 01/04/2018 - 07:14
Seltum
Imagen de Seltum
Desconectado/a
se unió: 01/04/18

netstat firewalld

Estado: 
[ACTIVO]

Hola,

Estoy harto de dar vueltas y no consigo saber porqué netstat -napt me dice que tengo puertos abiertos, cuando en firewalld estoy en block y no veo ningún puerto abierto.

Primero me volví loco con iptables y con ufw, hasta que me enteré de la existencia de firewalld, que me desconectaba ufw en el arranque. Por más que hago no consigo que netstat me muestre los puertos 22,111, etc cerrados.

¿Alguien sabe del tema y me puede explicar como cerrarlos?

Saludos

Dom, 01/04/2018 - 13:25
caliban
Imagen de caliban
Conectado
moderador
se unió: 14/01/16

¿Si haces un telnet lcalhost  puerto  , ¿que te responde?( o , telenet tu ip  puerto ) 

Dom, 01/04/2018 - 13:54
rockyiii
Imagen de rockyiii
Desconectado/a
administrator
se unió: 11/01/16

Hola Seltum, primero que nada te recomiendo que leas las normas del foro https://exdebian.org/normas/normas-del-foro

¿Estas usando debian?, ¿que versión? ¿que escritorio? ¿como instalaste netstat?  ¿dicho comando lo estas ejecutando desde debian ?

Como mínimo el título no es descriptivo, y si bien explicas el problema, casi que no das información. No sabemos que guías utilizaste para configurar firewalld, ni cual es la salida del comando netstat-nat?? (por seguridad podes modificar las ip).

Por ejemplo, firewalld se puede configurar tando desde una terminal como en forma gráfica pero no sabemos como lo has hecho, ni nada

saludos...

Lun, 02/04/2018 - 08:38 (Responder a #3)
Seltum
Imagen de Seltum
Desconectado/a
se unió: 01/04/18

Nunca usé telnet, pero lo hago ahora... a ver...

Aquí está:

pablo@debian-p:~$ telnet localhost
Trying ::1...
Trying 127.0.0.1...
telnet: Unable to connect to remote host: Connection refused
pablo@debian-p:~$ telnet 127.0.0.1
Trying 127.0.0.1...
telnet: Unable to connect to remote host: Connection refused
pablo@debian-p:~$ ^C

 

Lun, 02/04/2018 - 08:47 (Responder a #4)
Seltum
Imagen de Seltum
Desconectado/a
se unió: 01/04/18

Si, uso Debian estable. Me conecto a través de una conexión VPN, con Openvpn.

pablo@debian-p:~$ uname -a
Linux debian-p 4.9.0-3-amd64 #1 SMP Debian 4.9.30-2+deb9u5 (2017-09-19) x86_64 GNU/Linux

Con gnome

pablo@debian-p:~$ apt-cache show gnome
Package: gnome
Source: meta-gnome3
Version: 1:3.22+3
Installed-Size: 33
Maintainer: Debian GNOME Maintainers <pkg-gnome-maintainers@lists.alioth.debian.org>
Architecture: amd64

Instalé netstat de los repositorios, o ya venía instalado por defecto, no sé.

Si, ejecuto todo desde debian.

Firewalld lo configuré con el GUI de gnome, lo básico, no tengo reglas ni nada, solo quiero cerrar todos los puertos y permitir tráfico saliente. Tengo la conexión en BLOCK y ningún puerto abierto.

Si puedo darte más info dame los comandos que quieres que ejecute.

Saludos

Lun, 02/04/2018 - 08:51
Seltum
Imagen de Seltum
Desconectado/a
se unió: 01/04/18
pablo@debian-p:~$ netstat -napt
(Not all processes could be identified, non-owned process info
 will not be shown, you would have to be root to see it all.)
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      -                   
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      -                   
tcp        0      0 10.8.0.22:36872         159.203.108.35:443      ESTABLISHED 1904/firefox-esr    
tcp        0      0 10.8.0.22:32980         34.192.7.224:443        ESTABLISHED 1904/firefox-esr    
tcp        0      0 10.8.0.22:36800         87.248.118.22:443       ESTABLISHED 1904/firefox-esr    
tcp        0      0 10.8.0.22:38738         94.31.29.54:443         ESTABLISHED 1904/firefox-esr    
tcp        0      0 10.8.0.22:38164         13.33.76.226:443        ESTABLISHED 1904/firefox-esr    
tcp        0      0 10.8.0.22:46540         94.23.14.136:6667       ESTABLISHED 2591/konversation   
tcp        0      0 10.8.0.22:33102         34.192.7.224:443        ESTABLISHED 1904/firefox-esr    
tcp        0      0 10.8.0.22:49188         94.23.14.136:6667       ESTABLISHED 2591/konversation   
tcp6       0      0 :::111                  :::*                    LISTEN      -                   
tcp6       0      0 :::22                   :::*                    LISTEN      -                   
tcp6       0      0 ::1:631                 :::*                    LISTEN      -                   
tcp6       0      0 ::1:25                  :::*                    LISTEN      -                   
pablo@debian-p:~$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
INPUT_direct  all  --  anywhere             anywhere            
INPUT_ZONES_SOURCE  all  --  anywhere             anywhere            
INPUT_ZONES  all  --  anywhere             anywhere            
DROP       all  --  anywhere             anywhere             ctstate INVALID
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
FORWARD_direct  all  --  anywhere             anywhere            
FORWARD_IN_ZONES_SOURCE  all  --  anywhere             anywhere            
FORWARD_IN_ZONES  all  --  anywhere             anywhere            
FORWARD_OUT_ZONES_SOURCE  all  --  anywhere             anywhere            
FORWARD_OUT_ZONES  all  --  anywhere             anywhere            
DROP       all  --  anywhere             anywhere             ctstate INVALID
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
OUTPUT_direct  all  --  anywhere             anywhere            

Chain FORWARD_IN_ZONES (1 references)
target     prot opt source               destination         
FWDI_block  all  --  anywhere             anywhere            
FWDI_block  all  --  anywhere             anywhere            
FWDI_block  all  --  anywhere             anywhere            

Chain FORWARD_IN_ZONES_SOURCE (1 references)
target     prot opt source               destination         

Chain FORWARD_OUT_ZONES (1 references)
target     prot opt source               destination         
FWDO_block  all  --  anywhere             anywhere            
FWDO_block  all  --  anywhere             anywhere            
FWDO_block  all  --  anywhere             anywhere            

Chain FORWARD_OUT_ZONES_SOURCE (1 references)
target     prot opt source               destination         

Chain FORWARD_direct (1 references)
target     prot opt source               destination         

Chain FWDI_block (3 references)
target     prot opt source               destination         
FWDI_block_log  all  --  anywhere             anywhere            
FWDI_block_deny  all  --  anywhere             anywhere            
FWDI_block_allow  all  --  anywhere             anywhere            
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain FWDI_block_allow (1 references)
target     prot opt source               destination         

Chain FWDI_block_deny (1 references)
target     prot opt source               destination         

Chain FWDI_block_log (1 references)
target     prot opt source               destination         

Chain FWDO_block (3 references)
target     prot opt source               destination         
FWDO_block_log  all  --  anywhere             anywhere            
FWDO_block_deny  all  --  anywhere             anywhere            
FWDO_block_allow  all  --  anywhere             anywhere            
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain FWDO_block_allow (1 references)
target     prot opt source               destination         

Chain FWDO_block_deny (1 references)
target     prot opt source               destination         

Chain FWDO_block_log (1 references)
target     prot opt source               destination         

Chain INPUT_ZONES (1 references)
target     prot opt source               destination         
IN_block   all  --  anywhere             anywhere            
IN_block   all  --  anywhere             anywhere            
IN_block   all  --  anywhere             anywhere            

Chain INPUT_ZONES_SOURCE (1 references)
target     prot opt source               destination         

Chain INPUT_direct (1 references)
target     prot opt source               destination         

Chain IN_block (3 references)
target     prot opt source               destination         
IN_block_log  all  --  anywhere             anywhere            
IN_block_deny  all  --  anywhere             anywhere            
IN_block_allow  all  --  anywhere             anywhere            
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain IN_block_allow (1 references)
target     prot opt source               destination         
ACCEPT     icmp --  anywhere             anywhere             icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere             icmp echo-reply

Chain IN_block_deny (1 references)
target     prot opt source               destination         

Chain IN_block_log (1 references)
target     prot opt source               destination         

Chain OUTPUT_direct (1 references)
target     prot opt source               destination         

 

Lun, 02/04/2018 - 09:06
Seltum
Imagen de Seltum
Desconectado/a
se unió: 01/04/18

Tampoco entiendo porqué pone:

Chain INPUT (policy ACCEPT)

Cuando lo que quiero es justo lo contrario.

Ni porqué hacen falta tantas lineas en el iptables para una simple conexión donde quiero tener las conexiones entrantes bloqueadas. No sé como alguien puede leer eso y aclararse con lo que realmente está abierto y bloqueado.

Pero ya es habitual en Debian y linux en general, que todo sea complicado y haya que hacer mil cosas para poca cosa.

Otro problema que tengo es que el network-manager-openvpn-gnome no me da la opción de arrancar automáticamente la conexión vpn, tengo que hacerlo a mano. Ya busqué ayuda y otro lio. Para poca cosa hay que volverse loco.

Lun, 02/04/2018 - 12:57
rockyiii
Imagen de rockyiii
Desconectado/a
administrator
se unió: 11/01/16

si vas a usar firewalld lo mejor es que desinstales cualquier otro firewall que hayas instalado como ufw.

firewalld te permite tener muchas configuraciones para el firewall con distintas reglas (home, trabajo, public, etc) a su vez, se relaciona con la configuración de red en networkmanager de esta manera, una vez que tengamos nuestras distintas configuraciones de firewalld podemos asignar la que creamos necesaria a esa red, lo cual es ideal para un portátil

Esto es una especulación: puede que cuando trataste de configurar firewalld no lo hicieras sobre la configuración (home, trabajo, public, etc) que esta predeterminada para tu red y por eso puede que sigas notando que tenes esos puertos abiertos

otra alternativa a tener en cuenta es arno-iptables-firewall 

Lun, 02/04/2018 - 12:58
caliban
Imagen de caliban
Conectado
moderador
se unió: 14/01/16

Si queres todas las conexiones entrantes bloqueas ,en iptables .politica por defecto :

iptables -P INPUT DROP

pero eso te bloqueara todo,  a partir de ahi tendrás que ir agregando reglas para cada puerto de entrada que quieras habilitar ,supongamos paginas web puerto 80  por la interfaz de red  ethx

-A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT

 tambien permitir  el loopbak 

iptables -A INPUT -i lo -j ACCEPT

Y asi tendras que continuar con cada servicio al cual le permitas entrar etc,

En cuanto a telnet 

telnet 192.168.1.150 22
Trying 192.168.1.150...
Connected to 192.168.1.150.
Escape character is '^]'.
SSH-2.0-OpenSSH_7.6p1 Debian-2
exit
Protocol mismatch.
Connection closed by foreign host.
:~$ telnet 192.168.1.150 2222
Trying 192.168.1.150...
telnet: Unable to connect to remote host: Connection refused

Lo hice hacia el puerto 22  y hacia mi propia ip,  responde el servicio esta en escucha el puerto habilitado , 

en cambio tras el puerto 2222 nada 

$ telnet localhost 22
Trying 127.0.0.1...
Connected to localhos.localdomain.
Escape character is '^]'.
SSH-2.0-OpenSSH_7.6p1 Debian-2
quit
Protocol mismatch.
Connection closed by foreign host.
:~$ telnet localhost
Trying 127.0.0.1...
Trying ::1...
telnet: Unable to connect to remote host: Cannot assign requested address

Lo mismo usando el localhost .

El punto es este, para  utilizar un comando y entender que haces tenes que documentarte .

Del mismo modo si usas netstat , o nmap,  para comprobar  puertos y servicios.

Si vos lo que necesitas es un simple script de iptables para bloquear casi todo y dejar lo muy básico e indispensable , 

las reglas son muy pocas, tenes decenas de ejemplos en internet.

Todo lo que no se comprende parece muy complejo, y no te va a resultar de inicio, aunque te documentes, claro, eso viene con la practica.

 

Mar, 03/04/2018 - 06:29
Seltum
Imagen de Seltum
Desconectado/a
se unió: 01/04/18

A ver, para centrarnos en mi duda, he borrado todas las reglas de iptables dejándolo así:

 

pablo@debian-p:~/fuerzabruta$ sudo iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Y aun así netstat me dice que tengo los puertos abiertos:

pablo@debian-p:~/fuerzabruta$ netstat -napt
(Not all processes could be identified, non-owned process info
 will not be shown, you would have to be root to see it all.)
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      -                   
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      -                   
tcp6       0      0 :::111                  :::*                    LISTEN      -                   
tcp6       0      0 :::22                   :::*                    LISTEN      -                   
tcp6       0      0 ::1:631                 :::*                    LISTEN      -                   
tcp6       0      0 ::1:25                  :::*                    LISTEN      -                   

 

¿Alguien sabe como se explica esto?

Mar, 03/04/2018 - 14:49
caliban
Imagen de caliban
Conectado
moderador
se unió: 14/01/16
$ nmap localhost 
## mas completo  como root
# nmap localhost 

Reitero ,documentate 

(lo mismo con telnet , o desde otra pc con netcat [nc -zv ip  puerto]) etc.

Mié, 04/04/2018 - 12:41 (Responder a #11)
Seltum
Imagen de Seltum
Desconectado/a
se unió: 01/04/18

Si vengo aquí es porqué estoy harto de dar vueltas y no encuentro la respuesta.

Y no sé a que viene tu insistencia en hablar de Telnet, cuando mi problema es sobre cerrar puertos, y no tiene nada que ver con telnet. Ni lo uso, ni me interesa, ni lo necesito. El día que lo necesite ya aprenderé como utilizarlo. Como hice con todo lo demás.

Si no sabes nada, no sé porqué te molestas en contestar.

Para decir documéntate, no hace falta gastar saliva.

Supongo que esa respuesta te vale para todo el mundo.

Si no sabes de un tema, no hace falta que te hagas el listo,  ni el interesante, ni hagas perder el tiempo.

No sabes y punto. Estás como yo.

 

Por si alguien le pasa lo mismo: He llegado a la conclusión de que el puerto está abierto simplemente porque el servicio que lo abre está activado (por ejemplo el SSH, si cierro el servicio, desaparece el puerto 22 de la lista de netstat). Quiero suponer, que aunque el puerto está abierto, no es accesible porque iptables le corta el acceso. No estoy completamente seguro de esto último, pero es lo único que se me ocurre. Y parece que no hay nadie que tenga las cosas más claras que yo aquí.

Con esto cierro el tema. Si obtengo alguna respuesta mejor en algún foro en inglés os la traeré.

Saludos.

 

 

Mié, 04/04/2018 - 13:13
caliban
Imagen de caliban
Conectado
moderador
se unió: 14/01/16

Me descubriste ,no se nada y gasto saliva .!!!!!

Telnet no tiene que ver y no te sirve !!!

Y todo lo además claro. o sea acepto tu recomendación y me llamo al silencio en tu tema.Ademas sos tan astuto y despierto que ya te vas dando cuenta de las cosas , Bravo  genio!! ( y figura )

Por cierto ,te recomiendo un laxante quizá te beneficie.

 

Jue, 05/04/2018 - 20:02 (Responder a #13)
Berbellon
Imagen de Berbellon
Conectado
colaborador
se unió: 04/05/16

Seltum wrote:

Por si alguien le pasa lo mismo: He llegado a la conclusión de que el puerto está abierto simplemente porque el servicio que lo abre está activado (por ejemplo el SSH, si cierro el servicio, desaparece el puerto 22 de la lista de netstat). Quiero suponer, que aunque el puerto está abierto, no es accesible porque iptables le corta el acceso. No estoy completamente seguro de esto último, pero es lo único que se me ocurre. Y parece que no hay nadie que tenga las cosas más claras que yo aquí.

Al menos cambio de enfoque, y eso responde a su pregunta, ¿ ..... me puede explicar como cerrarlos?
Páginas man lsof, netstat, nmap, systemctl services, ssh e ignoro quién necesite el 111, 25, 631 en Debian.

Es aconsejable revisar el /etc/ssh/sshd_config ... Y por amor a las "conejitas" no usen TELNET en un servidor activo, https://www.ssh.com/ssh/telnet