Forum Linux.pl

System => Sieć => Wątek zaczęty przez: 1709 w 2019-12-15, 12:08:46

Tytuł: Otwaty port 123 udp
Wiadomość wysłana przez: 1709 w 2019-12-15, 12:08:46
Korzystam raz na jakiś czas z "Linux Mint 19 Tara" ( bez dodatkowych cyfr i kropki )

Wyczytałem ze otwarty port 123 jest powszechny w Ubuntu
https://unix.stackexchange.com/questions/404701/ubuntu-udp-traffic-on-port-123
https://serverfault.com/questions/493121/ubuntu-open-udp-port-123

Problem w tym ze nie potrafię znaleźć czemu ten port jest otwarty
mimo domyślnej polityki
# ufw status verbose
Stan: aktywny
Logowanie: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
Nowe profile: skip

Doczytalem na https://help.ubuntu.com/community/UFW
o pliku /etc/ufw/before.rules ale tu tez nie widze
# grep -v "#"  /etc/ufw/before.rules

*filter
:ufw-before-input - [0:0]
:ufw-before-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-not-local - [0:0]


-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT

-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP

-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT

-A ufw-before-forward -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type echo-request -j ACCEPT

-A ufw-before-input -p udp --sport 67 --dport 68 -j ACCEPT

-A ufw-before-input -j ufw-not-local

-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN

-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN

-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN

-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP

-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT


COMMIT

# iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N ufw-after-forward
-N ufw-after-input
-N ufw-after-logging-forward
-N ufw-after-logging-input
-N ufw-after-logging-output
-N ufw-after-output
-N ufw-before-forward
-N ufw-before-input
-N ufw-before-logging-forward
-N ufw-before-logging-input
-N ufw-before-logging-output
-N ufw-before-output
-N ufw-logging-allow
-N ufw-logging-deny
-N ufw-not-local
-N ufw-reject-forward
-N ufw-reject-input
-N ufw-reject-output
-N ufw-skip-to-policy-forward
-N ufw-skip-to-policy-input
-N ufw-skip-to-policy-output
-N ufw-track-forward
-N ufw-track-input
-N ufw-track-output
-N ufw-user-forward
-N ufw-user-input
-N ufw-user-limit
-N ufw-user-limit-accept
-N ufw-user-logging-forward
-N ufw-user-logging-input
-N ufw-user-logging-output
-N ufw-user-output
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT

Edit.
Zeby nie bylo i nmap tez mi potwierdza ze jest otwarty.
# nc -v -z -n -w 1 -u  192.168.1.X  123
Connection to 192.168.1.X 123 port [udp/*] succeeded!
Tytuł: Odp: Otwaty port 123 udp
Wiadomość wysłana przez: marcin'82 w 2019-12-15, 12:17:11
Może jest zainstalowana, skonfigurowana i włączona jakaś wariacja ntp/ntpd/ntpdate?

Widać go w?
#    lsof -Pi4
Tytuł: Odp: Otwaty port 123 udp
Wiadomość wysłana przez: 1709 w 2019-12-15, 12:31:57
No jest, ale chodzi mi o coś innego.
Jeśli zapora jest zamknięta to wszystkie porty powinny być zamknięte.

Przy skanowaniu wszystkich portów przy pomocy nmap wychodzi że port jest otwarty
nmap -sU -p0-65535 192.168.1.X

Starting Nmap 7.60 ( https://nmap.org ) at 2019-12-07 04:46 CET
Nmap scan report for X (192.168.1.X)
Host is up (0.000056s latency).
Not shown: 65531 closed ports
PORT      STATE         SERVICE
68/udp    open|filtered dhcpc
123/udp   open          ntp
631/udp   open|filtered ipp
5353/udp  open|filtered zeroconf
51192/udp open|filtered unknown

Nmap done: 1 IP address (1 host up) scanned in 12265.19 seconds

- Jakieś parę godzin temu wyszło mi to samo ( bo ten skan jest trochę czasochłonny )
- Z tego co "testowałem" to na komendę nc trzeba uważać, bo przy równoległym skanowaniu może dać fałszywy wynik.
- ale skanując pojedynczo przez nmap mam to samo
 nmap -p123 -sU 192.168.1.X

Starting Nmap 7.60 ( https://nmap.org ) at 2019-12-15 12:27 CET
Nmap scan report for X (192.168.1.X)
Host is up (0.00021s latency).

PORT    STATE SERVICE
123/udp open  ntp

Nmap done: 1 IP address (1 host up) scanned in 0.32 seconds

Nie wiem, może czegoś nie zauważyłem.
Tytuł: Odp: Otwaty port 123 udp
Wiadomość wysłana przez: marcin'82 w 2019-12-15, 12:52:02
Dobra, to mnie umknęło :D
Cytuj
No jest, ale chodzi mi o coś innego.
Jeśli zapora jest zamknięta to wszystkie porty powinny być zamknięte.

Nie jestem pewny (o ile nie mieszam pojęć), ale musiałbyś filtrować ruch na interfejsie lo, wtedy byłby zamknięty. Adres IP jest i tak rozwiązywany na localhost 127.0.0.1, z zewnątrz ten port nie jest na pewno widoczny, z innego urządzenia z tej samej sieci LAN.
Tytuł: Odp: Otwaty port 123 udp
Wiadomość wysłana przez: exTerminator w 2019-12-15, 13:52:00
A urządzenie z którego pochodzi 192.168.8.1 nie otwiera tego portu po stronie sprzętowej? Router/modem (lub cokolwiek innego) ma swoją własną zaporę?
Tytuł: Odp: Otwaty port 123 udp
Wiadomość wysłana przez: 1709 w 2019-12-16, 16:17:27
Cytuj
It will work anyway even if you block this port in iptables.
Nie wierzyłem, a jednak :D
Zapomnialem juz ze w podobny sposob mozna blokowac reklamy.
To w wolnym czasie przyjrze sie ntp lub usune.
https://bbs.archlinux.org/viewtopic.php?id=122323

Dzieki!
Tytuł: Odp: Otwaty port 123 udp
Wiadomość wysłana przez: marcin'82 w 2019-12-16, 16:53:39
No co zrobisz - no nic nie zrobisz :D
Tytuł: Odp: Otwaty port 123 udp
Wiadomość wysłana przez: 1709 w 2019-12-31, 12:07:50
Wyłączenie usługi ntp zamyka port,  nic więcej stwierdzić nie potrafię.
Próbowałem używać aide, strace, grep, nie widzę nic w stylu " ExecStartPre=/usr/bin/firewall-cmd --add-service=ntp "
Nie zdążyłem wszystkiego przeczytać o systemd, przerobić na init, samemu skompilować, czy przetestować na innych dystrybucjach.