[请教]怎样用iptables屏蔽掉不需要的端口

hyoga

本人安全知识一片空白，只是用nmap看了一下自己的机器，好多！
Port       State       Service
7/tcp      open        echo
13/tcp     open        daytime
19/tcp     open        chargen
21/tcp     open        ftp
22/tcp     open        ssh
23/tcp     open        telnet
37/tcp     open        time
80/tcp     open        http
139/tcp    open        netbios-ssn
389/tcp    open        ldap
445/tcp    filtered    microsoft-ds
901/tcp    open        samba-swat
1002/tcp   open        unknown
1720/tcp   open        H.323/Q.931
3306/tcp   open        mysql
其中我需要的就是ftp,ssh,telnet(这个是bbs),httpd,samba,mysql
其他的我不知道怎样关掉或者屏蔽掉，请大大们点拨一下,谢谢！
（那个H.323/Q.931是什么？）

包子

445/tcp filtered microsoft-ds

有防火墙？？？

你的是win2k server的机器吧？

hyoga

445应该是samba模拟nt的一个端口（猜的）

terminator

set default policy of iptable input chain to be DROP. then add rules to allow incomming connection to port ftp, ssh, telnet, httpd, samba, mysql one by one. I suggest to block mysql as well since usually you only need to access mysql from localhost.

hyoga

谢谢！你的意思我明白。但是我现在没有时间（再外地出差）。iptables我没有弄过（不知道别人告诉我的一条规则NAT算不算），等回公司再好好研究研究吧！

Snoopy

linux有哪个发行版装好后自动打开139和445的,那根本是windows啊

ipatbles -A INPUT -p tcp --dport 1:1024 -j DROP
iptables -A INPUT -p tcp --dport ** -j ACCEPT
允许的端口,相对协议改一下就可以了,

hyoga

哥哥我没说他是自动打开的啊，是我装了samba打开的
那是否我要屏蔽某一端口（比方37），只要
ipatbles -A INPUT -p tcp --dport 37 -j DROP
就可以了？
我试了一下：
37/tcp   filtered time
是否这个代表这个端口已经与外界切断了？
谢谢！

Snoopy

如果是tcp的就是啊,其他协议就改其他协议

你的1002是什么来的啊???

大熊宝宝

当然我们可以反过来 全部DROP 要开的我们accept

hyoga

俺也不知道1002是什么：（俺今天才发现俺弱的一他糊涂。
看不到什么可疑的进程……
重起后已经没了……