debian.org / О Debian Где взять Debian Поддержка Уголок разработчика Новости Wiki

Автор Тема: Как запретить TightVNC  (Прочитано 243 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн kos96

  • Новичок форума
  • Topic Author
  • Сообщений: 2
Как запретить TightVNC
« : 29 Март 2019, 11:59:01 »
Добрый день. Ситуация такая. Есть 5 филиалов разбросанных по городу. В каждом филиале стоит сервак (2 Debian и 3 Fedora). С помощью TightVNC на винде подключаюсь к компам филиалов. Хотел попробовать запретить работу  по TightVNC (он работает на 5500 порту). В iptables  прописал:
-A INPUT -p tcp -m state --state NEW -m tcp --dport 5500 -j DROP,
то же самое для OUTPUT и FORWARD но TightVNC все равно подключается. Как разрешить или запретить подключаться с определенной машины???
« Последнее редактирование: 29 Март 2019, 12:12:12 от kos96 »
 

Оффлайн endru

  • Главный модератор
  • Ветеран
  • *****
  • Сообщений: 1693
  • Новосибирск
  • Jabber: endru@jabber.ru
Re: Как запретить TightVNC
« Ответ #1 : 29 Март 2019, 13:01:55 »
1. Использовать TightVNC не безопасно, т.к. он не шифрует соединение. При желании можно перехватить трафик.
2.
С помощью TightVNC на винде подключаюсь к компам филиалов
Роль серверов какая? Проброс порта до другой машины? Или на этих сервера установлен VNC сервер?
3. Это какие то обрывки из правил iptables, нужно показать выхлоп команды:
iptables-save

Оффлайн kos96

  • Новичок форума
  • Topic Author
  • Сообщений: 2
Re: Как запретить TightVNC
« Ответ #2 : 29 Март 2019, 13:49:23 »
1. Шифровать ничего не нужно. Везде на входе стоят криптошлюзы
2. На серверах VNC сервер не стоит
3.*filter
:INPUT DROP [11681:911613]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i tap+ -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8330 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 34543 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 5500 -j DROP
-A INPUT -p tcp -m state --state NEW -m tcp --dport 5800 -j DROP
-A INPUT -p tcp -m state --state NEW -m tcp --dport 5900 -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -i tap+ -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -d 192.168.27.150/32 -i ppp0 -p tcp -m state --state NEW -m tcp --dport 34567 -j ACCEPT
-A FORWARD -p tcp -m state --state NEW -m tcp --dport 5500 -j DROP
-A FORWARD -p tcp -m state --state NEW -m tcp --dport 5800 -j DROP
-A FORWARD -p tcp -m state --state NEW -m tcp --dport 5900 -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 5500 -j DROP
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 5800 -j DROP
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 5900 -j DROP
COMMIT
# Completed on Wed Aug  8 10:58:24 2018
# Generated by iptables-save v1.4.21 on Wed Aug  8 10:58:24 2018
*nat
:PREROUTING ACCEPT [180972:12255043]
:INPUT ACCEPT [67815:5242959]
:OUTPUT ACCEPT [36680:2913185]
:POSTROUTING ACCEPT [2352:367811]
-A PREROUTING -d 192.168.28.254/32 -i eth0 -p tcp -j ACCEPT
-A PREROUTING -d 192.168.29.254/32 -i eth0 -p tcp -j ACCEPT
-A PREROUTING -d 192.168.30.254/32 -i eth0 -p tcp -j ACCEPT
-A PREROUTING -d 192.168.31.254/32 -i eth0 -p tcp -j ACCEPT
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 34543 -j DNAT --to-destination 192.168.27.150:34567
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Wed Aug  8 10:58:24 2018
# Generated by iptables-save v1.4.21 on Wed Aug  8 10:58:24 2018
*mangle
:PREROUTING ACCEPT [6916393:4592142761]
:INPUT ACCEPT [496996:197199824]
:FORWARD ACCEPT [6415392:4394430682]
:OUTPUT ACCEPT [429664:131310216]
:POSTROUTING ACCEPT [6845707:4525877851]
COMMIT
« Последнее редактирование: 01 Апрель 2019, 08:19:18 от endru »
 

Русскоязычное сообщество Debian GNU/Linux

Re: Как запретить TightVNC
« Ответ #2 : 29 Март 2019, 13:49:23 »


Теги:
 

Не получается полностью запретить ipv6

Автор xenarchibal

Ответов: 2
Просмотров: 428
Последний ответ 07 Май 2018, 18:46:41
от xenarchibal