is113 Sep 4 at 15:06

«Всегда закрывай за собой двери!»: краткое пособие по работе с портами

9 min

26K

Selectel corporate blogNginx*Information Security*Network technologies*

+54

Comments 6

Akina Sep 4 at 15:19

Как-то странно. В первых трёх вариантах вы сканировали порты nmap-ом, а в последнем что же не стали?

И не очень понятно, зачем было в третьем варианте делать веб-сервер, недоступный из инета вообще.

is113 Sep 4 at 17:43

Спасибо за комментарий.

Концепция закрытия портов, но с помощью NGFW, сохраняется и в последнем варианте.
В третьем варианте веб-сервер доступен из Интернета - результат сканирования содержит открытый порт 80/TCP, об открытии его сказано в тексте.

Johan_Palych Sep 4 at 22:30

Для этого добавим правило iptables — читайте в Академии
Открываем вкладку Серверы и создаем два сервера в разных пулах.

Создаете серверы на базе Ubuntu 22.04 LTS?
What’s new in Security for Ubuntu 22.04 LTS?
"nftables as the default firewall backend"
https://manpages.ubuntu.com/manpages/jammy/en/man8/iptables-restore-translate.8.html

You can translate the iptables rules to nft through iptables-translate and ipt6ables-translate. e,g:
iptables-translate -A INPUT -s x.x.x.x/32 -d y.y.y.y/32 -i eth2 -j DROP

Wesha Sep 5 at 19:09

Вообще не понимаю, что за шум-гам. "Открытый порт" означает, что сервер готов принять на этом порту соединние и передавать полученные данные некоему процессу. Ну так замечательно: теперь главное — чтобы тот процесс, которому передаются данные, был нормально написан и не имел уязвимостей (а если имеет — то это уже медицинский случай, и тут закрывай — не закрывай, трындец подкрадётся незаметно), от закрытия портов в зависит чуть менее чем ничего.

В аналогиях: в клубе входная дверь открыта нараспашку и на ней нет никакого замка (открытый порт) — входи кто хочешь — однако войдя, клиент сталкивается с вышибалой (слушающий на этом порту процесс), которому если лицо вошедшего не нравится — то он его разворачивает и придаёт волшебный пендель, а если всё нормально — то пропускает дальше, к лото и куртизанкам.

Akina Sep 23 at 10:54

Я вообще бы различал 4 состояния порта.

Необслуживаемый. Нет никакого процесса, который хотя как-то реагирует на приход пакета на этот порт. Соответственно сетевая подсистема, отвечающая за начальные приём и обработку, определяет, что пакет предназначен "никому", и благополучно игнорирует факт его прихода.
Безусловно закрытый. Процесс, который реагирует на приход пакета на этот порт, имеется. Но вся его реакция заключается в том, что он, как в случае 1, тихо выполняет Drop. Разница со случаем 1 в том, что решение о реакции принимается в соответствии с текущими настройками, и может быть перенастроено. В общем случае усилиями извне, видимо, невозможно определить, имеем мы случай 1 или 2.
Условно закрытый. Процесс, который реагирует на приход пакета на этот порт, имеется. Но вся его реакция заключается в том, что он отправляет в ответ Deny. Также может быть перенастроено. Причём в обе стороны.
Открытый. Процесс, который реагирует на приход пакета на этот порт, не только имеется, но и реагирует более вменяемым, чем Deny, ответом. Даже если это 404.

whileDo Sep 23 at 09:28

Реклама сервисов? Фаервол включили - закрыто, выключили - открыто, ай-ай-ай. Название и вступление обещали что-то интересное...