Как запретить TightVNC

Автор kos96, 29 марта 2019, 11:59:01

« назад - далее »

0 Пользователи и 2 гостей просматривают эту тему.

kos96

Добрый день. Ситуация такая. Есть 5 филиалов разбросанных по городу. В каждом филиале стоит сервак (2 Debian и 3 Fedora). С помощью TightVNC на винде подключаюсь к компам филиалов. Хотел попробовать запретить работу  по TightVNC (он работает на 5500 порту). В iptables  прописал:
-A INPUT -p tcp -m state --state NEW -m tcp --dport 5500 -j DROP,
то же самое для OUTPUT и FORWARD но TightVNC все равно подключается. Как разрешить или запретить подключаться с определенной машины???

endru

1. Использовать TightVNC не безопасно, т.к. он не шифрует соединение. При желании можно перехватить трафик.
2.
Цитата: kos96 от 29 марта 2019, 11:59:01С помощью TightVNC на винде подключаюсь к компам филиалов
Роль серверов какая? Проброс порта до другой машины? Или на этих сервера установлен VNC сервер?
3. Это какие то обрывки из правил iptables, нужно показать выхлоп команды:
iptables-save

kos96

#2
1. Шифровать ничего не нужно. Везде на входе стоят криптошлюзы
2. На серверах VNC сервер не стоит
3.*filter
:INPUT DROP [11681:911613]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i tap+ -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8330 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 34543 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 5500 -j DROP
-A INPUT -p tcp -m state --state NEW -m tcp --dport 5800 -j DROP
-A INPUT -p tcp -m state --state NEW -m tcp --dport 5900 -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -i tap+ -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -d 192.168.27.150/32 -i ppp0 -p tcp -m state --state NEW -m tcp --dport 34567 -j ACCEPT
-A FORWARD -p tcp -m state --state NEW -m tcp --dport 5500 -j DROP
-A FORWARD -p tcp -m state --state NEW -m tcp --dport 5800 -j DROP
-A FORWARD -p tcp -m state --state NEW -m tcp --dport 5900 -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 5500 -j DROP
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 5800 -j DROP
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 5900 -j DROP
COMMIT
# Completed on Wed Aug  8 10:58:24 2018
# Generated by iptables-save v1.4.21 on Wed Aug  8 10:58:24 2018
*nat
:PREROUTING ACCEPT [180972:12255043]
:INPUT ACCEPT [67815:5242959]
:OUTPUT ACCEPT [36680:2913185]
:POSTROUTING ACCEPT [2352:367811]
-A PREROUTING -d 192.168.28.254/32 -i eth0 -p tcp -j ACCEPT
-A PREROUTING -d 192.168.29.254/32 -i eth0 -p tcp -j ACCEPT
-A PREROUTING -d 192.168.30.254/32 -i eth0 -p tcp -j ACCEPT
-A PREROUTING -d 192.168.31.254/32 -i eth0 -p tcp -j ACCEPT
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 34543 -j DNAT --to-destination 192.168.27.150:34567
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Wed Aug  8 10:58:24 2018
# Generated by iptables-save v1.4.21 on Wed Aug  8 10:58:24 2018
*mangle
:PREROUTING ACCEPT [6916393:4592142761]
:INPUT ACCEPT [496996:197199824]
:FORWARD ACCEPT [6415392:4394430682]
:OUTPUT ACCEPT [429664:131310216]
:POSTROUTING ACCEPT [6845707:4525877851]
COMMIT