Rozliseni otevrenych portu na dvou rozhranich

Dobry den,

mam server na kterem bezi ssh, ftp, vnc, http a mnoho dalsich sluzeb. Serveru jsem dnes nainstaloval novou (dalsi) sitovou kartu. Problem je v tom, ze nechci, aby porty naslouchaly i na novem eth1 rozhrani. Tusim, ze se na to pujde nejak pres iptables, muzete mi to prosim trochu upresnit?

Mnoho síťových služeb umožňuje v konfiguraci nastavit, na kterých IP adresách má naslouchat. To je nejlepší řešení. Přes iptables můžete jen zablokovat příchozí komunikaci na dané rozhraní a port nebo ji přesměrovat jinam.

27.1.2011 10:54 PMartinek
Rozbalit Rozbalit vše Re: Rozliseni otevrenych portu na dvou rozhranich

Ano, nad touto variantou jsem uvazoval, avsak na serveru bezi pomerne mnoho sluzeb a tato zmena by vyzadovala rekonfiguraci kazde z nich a navic si nejsem jisty, zda to vubec vsechny sluzby umoznuji.

Iptables opravdu neumi tu danou sluzbu pri pristupu z ethX rozhrani "zneviditelnit", aby napriklad nebyla odhalitelna port scannerem? Nebo to se rovna te variante, kdyz zablokuji veskerou prichozi komunikaci na dane rozhrani?

27.1.2011 11:18 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Rozliseni otevrenych portu na dvou rozhranich

Můžete zablokovat příchozí komunikaci pro daný port a rozhraní. Ale to bych volil jen jako nouzové řešení pro případ, kdy nějaká služba nepůjde správně nakonfigurovat. Je to zbytečná komplikace, potenciální zdroj chyb a dalších problémů. Pak přidáte další rozhraní nebo IP adresu, budete to muset konfigurovat znova, nebo budete chtít spustit jiný server pro nové rozhraní, a stejně to budete muset udělat správně. Tak proč to neudělat správně rovnou?

Dotaz: Rozliseni otevrenych portu na dvou rozhranich

Odpovědi