OVH Community, votre nouvel espace communautaire.

port rndc


Psyk
12/02/2004, 17h16
Merci Tian pour la doc iptables Comme je l'ai dit j'y ai jamais rien compris (entre les ordres de traitement et tout, au final tout était bloqué

Je vais lire ça et essayer de progresser dans le domaine. Encore merci

Tian
12/02/2004, 13h53
Voila qui devrait alors te suffire :

iptables -A INPUT --source ! 127.0.0.1 --protocol tcp --destination-port 953 --jump DROP

-NC-
12/02/2004, 13h33
pfft j'ai bien vu que c'etait en local lol mais j'ai juste confirme avec un nmap, mais le pb reste entier pour moi je veux juste fermer ce port

Tian
12/02/2004, 11h54
Psyk écrivait :
D'ailleurs si qq'un du support lit ça, ça serait bien un petit guide de gestion d'iptables (avec pourquoi pas un script "classique" adapté à la conf par défaut d'ovh, et un tuto qui expliquerait comment le modifier, l'adapter).
Une petite doc sur l'utilisation d'iptables :

http://www.c-sait.net/iptables.php

qui vaut ce qu'elle vaut

J'ai aussi un petit exemple simple :

http://www.c-sait.net/display_script...=tian_firewall

ikse
12/02/2004, 08h28
-NC- écrivait :
tcp 0 0 localhost.localdom:rndc *:* LISTEN
Il n'écoute deja qu'en local ... donc pas visible de l'exterieur.
Quant au nmap, c'est de l'exterieur qu'il faut le faire ...
sinon, c'est normal que le port soit ouvert en local.

-NC-
11/02/2004, 20h44
t'inkietes pas pour mon kernell Psyk c'est le dernier patche grsec de ovh (plutot kewl le kernell loade sur le reseau)

okay donc si j'utilise iptables ya pas moyen d'utiliser un module pour webmin, j'ai pas reussi a le faire marcher sur mon sd.. il me dit qu'il ne peut pas l'install sur cette config

merci qd meme pour toutes ces infos !

Kervala
11/02/2004, 19h50
Il me semble que j'ai commenté toutes les lignes du fichier : /etc/rndc.key et que le port 953 est désormais fermé...

Et je n'ai pas de problème avec bind puisque le port 953 permet d'administrer à distance le serveur à ce que j'ai compris ^^

Psyk
11/02/2004, 19h47
La meilleure solution est d'utiliser iptables pour bloquer les accès depuis l'extérieur. Par contre je peux pas t'en dire plus, la dernière fois que j'y ai touché sur un superplan, il a fallu un reboot en dur :/

D'ailleurs si qq'un du support lit ça, ça serait bien un petit guide de gestion d'iptables (avec pourquoi pas un script "classique" adapté à la conf par défaut d'ovh, et un tuto qui expliquerait comment le modifier, l'adapter).

Au passage tu devrais mettre à jour ton kernel

-NC-
11/02/2004, 17h37
"Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
tcp 0 0 *:.pop3 *:* LISTEN
tcp 0 0 *:imap *:* LISTEN
tcp 0 0 *:10000 *:* LISTEN
tcp 0 0 *:http *:* LISTEN
tcp 0 0 ns30041.ovh.net:domain *:* LISTEN
tcp 0 0 localhost.locald:domain *:* LISTEN
tcp 0 0 *:ftp *:* LISTEN
tcp 0 0 *:ssh *:* LISTEN
tcp 0 0 localhost.localdom:rndc *:* LISTEN
tcp 0 0 *:smtp *:* LISTEN
udp 0 0 *:10000 *:*
udp 0 0 *:4628 *:*
udp 0 0 ns30041.ovh.net:domain *:*
udp 0 0 localhost.locald:domain *:*"

on voit ici que le port rndc est ouvert, et cela me derange sur le plan securitaire pour mon sd, un nmap me donne :

"The SYN Stealth Scan took 2 seconds to scan 1644 ports.
For OSScan assuming that port 21 is open and port 1 is closed and neither are firewalled
Interesting ports on localhost.localdomain (127.0.0.1):
(The 1635 ports scanned but not shown below are in state: closed)
Port State Service
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop-3
143/tcp open imap2
953/tcp open rndc
10000/tcp open snet-sensor-mgmt
Device type: general purpose
Running: Linux 2.4.X
OS details: Linux 2.4.20 - 2.4.21 w/grsecurity.org patch"

on voit bien que le port est ouvert

comment le bloquer de l'exterieur et l'autoriser sur le loopback pour la gestion du DNS de mon sd ??