Nowe posty

Autor Wątek: Otwaty port 123 udp  (Przeczytany 558 razy)

Offline 1709

  • Users
  • Guru
  • *****
  • Wiadomości: 2337
  • 1709
    • Zobacz profil
Otwaty port 123 udp
« dnia: 2019-12-15, 12:08:46 »
Korzystam raz na jakiś czas z "Linux Mint 19 Tara" ( bez dodatkowych cyfr i kropki )

Wyczytałem ze otwarty port 123 jest powszechny w Ubuntu
https://unix.stackexchange.com/questions/404701/ubuntu-udp-traffic-on-port-123
https://serverfault.com/questions/493121/ubuntu-open-udp-port-123

Problem w tym ze nie potrafię znaleźć czemu ten port jest otwarty
mimo domyślnej polityki
# ufw status verbose
Stan: aktywny
Logowanie: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
Nowe profile: skip

Doczytalem na https://help.ubuntu.com/community/UFW
o pliku /etc/ufw/before.rules ale tu tez nie widze
# grep -v "#"  /etc/ufw/before.rules

*filter
:ufw-before-input - [0:0]
:ufw-before-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-not-local - [0:0]


-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT

-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP

-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT

-A ufw-before-forward -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type echo-request -j ACCEPT

-A ufw-before-input -p udp --sport 67 --dport 68 -j ACCEPT

-A ufw-before-input -j ufw-not-local

-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN

-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN

-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN

-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP

-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT


COMMIT

# iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N ufw-after-forward
-N ufw-after-input
-N ufw-after-logging-forward
-N ufw-after-logging-input
-N ufw-after-logging-output
-N ufw-after-output
-N ufw-before-forward
-N ufw-before-input
-N ufw-before-logging-forward
-N ufw-before-logging-input
-N ufw-before-logging-output
-N ufw-before-output
-N ufw-logging-allow
-N ufw-logging-deny
-N ufw-not-local
-N ufw-reject-forward
-N ufw-reject-input
-N ufw-reject-output
-N ufw-skip-to-policy-forward
-N ufw-skip-to-policy-input
-N ufw-skip-to-policy-output
-N ufw-track-forward
-N ufw-track-input
-N ufw-track-output
-N ufw-user-forward
-N ufw-user-input
-N ufw-user-limit
-N ufw-user-limit-accept
-N ufw-user-logging-forward
-N ufw-user-logging-input
-N ufw-user-logging-output
-N ufw-user-output
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT

Edit.
Zeby nie bylo i nmap tez mi potwierdza ze jest otwarty.
# nc -v -z -n -w 1 -u  192.168.1.X  123
Connection to 192.168.1.X 123 port [udp/*] succeeded!
« Ostatnia zmiana: 2019-12-15, 12:16:09 wysłana przez 1709 »
Pochwal się swoją kartą graficzną w tym wątku-->
http://forum.linux.pl/index.php/topic,19841.msg121122.html#msg121122

Offline marcin'82

  • Users
  • Prawie jak Guru
  • ****
  • Wiadomości: 305
    • Zobacz profil
Odp: Otwaty port 123 udp
« Odpowiedź #1 dnia: 2019-12-15, 12:17:11 »
Może jest zainstalowana, skonfigurowana i włączona jakaś wariacja ntp/ntpd/ntpdate?

Widać go w?
#    lsof -Pi4
marcin82

Offline 1709

  • Users
  • Guru
  • *****
  • Wiadomości: 2337
  • 1709
    • Zobacz profil
Odp: Otwaty port 123 udp
« Odpowiedź #2 dnia: 2019-12-15, 12:31:57 »
No jest, ale chodzi mi o coś innego.
Jeśli zapora jest zamknięta to wszystkie porty powinny być zamknięte.

Przy skanowaniu wszystkich portów przy pomocy nmap wychodzi że port jest otwarty
nmap -sU -p0-65535 192.168.1.X

Starting Nmap 7.60 ( https://nmap.org ) at 2019-12-07 04:46 CET
Nmap scan report for X (192.168.1.X)
Host is up (0.000056s latency).
Not shown: 65531 closed ports
PORT      STATE         SERVICE
68/udp    open|filtered dhcpc
123/udp   open          ntp
631/udp   open|filtered ipp
5353/udp  open|filtered zeroconf
51192/udp open|filtered unknown

Nmap done: 1 IP address (1 host up) scanned in 12265.19 seconds

- Jakieś parę godzin temu wyszło mi to samo ( bo ten skan jest trochę czasochłonny )
- Z tego co "testowałem" to na komendę nc trzeba uważać, bo przy równoległym skanowaniu może dać fałszywy wynik.
- ale skanując pojedynczo przez nmap mam to samo
 nmap -p123 -sU 192.168.1.X

Starting Nmap 7.60 ( https://nmap.org ) at 2019-12-15 12:27 CET
Nmap scan report for X (192.168.1.X)
Host is up (0.00021s latency).

PORT    STATE SERVICE
123/udp open  ntp

Nmap done: 1 IP address (1 host up) scanned in 0.32 seconds

Nie wiem, może czegoś nie zauważyłem.
Pochwal się swoją kartą graficzną w tym wątku-->
http://forum.linux.pl/index.php/topic,19841.msg121122.html#msg121122

Offline marcin'82

  • Users
  • Prawie jak Guru
  • ****
  • Wiadomości: 305
    • Zobacz profil
Odp: Otwaty port 123 udp
« Odpowiedź #3 dnia: 2019-12-15, 12:52:02 »
Dobra, to mnie umknęło :D
Cytuj
No jest, ale chodzi mi o coś innego.
Jeśli zapora jest zamknięta to wszystkie porty powinny być zamknięte.

Nie jestem pewny (o ile nie mieszam pojęć), ale musiałbyś filtrować ruch na interfejsie lo, wtedy byłby zamknięty. Adres IP jest i tak rozwiązywany na localhost 127.0.0.1, z zewnątrz ten port nie jest na pewno widoczny, z innego urządzenia z tej samej sieci LAN.
« Ostatnia zmiana: 2019-12-15, 12:54:39 wysłana przez marcin'82 »
marcin82

Offline exPredator

  • Users
  • Stały bywalec
  • ***
  • Wiadomości: 171
  • Bez kipa i kawy nie ma życia
    • Zobacz profil
Odp: Otwaty port 123 udp
« Odpowiedź #4 dnia: 2019-12-15, 13:52:00 »
A urządzenie z którego pochodzi 192.168.8.1 nie otwiera tego portu po stronie sprzętowej? Router/modem (lub cokolwiek innego) ma swoją własną zaporę?

Offline 1709

  • Users
  • Guru
  • *****
  • Wiadomości: 2337
  • 1709
    • Zobacz profil
Odp: Otwaty port 123 udp
« Odpowiedź #5 dnia: 2019-12-16, 16:17:27 »
Cytuj
It will work anyway even if you block this port in iptables.
Nie wierzyłem, a jednak :D
Zapomnialem juz ze w podobny sposob mozna blokowac reklamy.
To w wolnym czasie przyjrze sie ntp lub usune.
https://bbs.archlinux.org/viewtopic.php?id=122323

Dzieki!
Pochwal się swoją kartą graficzną w tym wątku-->
http://forum.linux.pl/index.php/topic,19841.msg121122.html#msg121122

Offline marcin'82

  • Users
  • Prawie jak Guru
  • ****
  • Wiadomości: 305
    • Zobacz profil
Odp: Otwaty port 123 udp
« Odpowiedź #6 dnia: 2019-12-16, 16:53:39 »
No co zrobisz - no nic nie zrobisz :D

marcin82

Offline 1709

  • Users
  • Guru
  • *****
  • Wiadomości: 2337
  • 1709
    • Zobacz profil
Odp: Otwaty port 123 udp
« Odpowiedź #7 dnia: 2019-12-31, 12:07:50 »
Wyłączenie usługi ntp zamyka port,  nic więcej stwierdzić nie potrafię.
Próbowałem używać aide, strace, grep, nie widzę nic w stylu " ExecStartPre=/usr/bin/firewall-cmd --add-service=ntp "
Nie zdążyłem wszystkiego przeczytać o systemd, przerobić na init, samemu skompilować, czy przetestować na innych dystrybucjach.
« Ostatnia zmiana: 2020-01-06, 03:37:42 wysłana przez 1709 »
Pochwal się swoją kartą graficzną w tym wątku-->
http://forum.linux.pl/index.php/topic,19841.msg121122.html#msg121122