Как убрать лишние сервисы с порта в iptables ?

Автор ferum, 06 августа 2024, 20:00:34

« назад - далее »

0 Пользователи и 2 гостей просматривают эту тему.

ferum

Мучу одну интересную штуку. Нужен чистый порт 53.
#проверяю
ss -lp 'sport = :domain'
# получаю
Netid                   State                    Recv-Q                   Send-Q                                     Local Address:Port                                       Peer Address:Port                   Process                   
udp                     UNCONN                   0                        0                                              127.0.2.1:domain                                          0.0.0.0:*                                               
tcp                     LISTEN                   0                        4096                                           127.0.2.1:domain                                          0.0.0.0:*
# необходимо
 Netid               State                 Recv-Q                Send-Q                                 Local Address:Port                                   Peer Address:Port                                             
Прежде с фаерволом не заморачивался.
Русские дебианщики против цифрового слабоумия !

dzhoser

Iptables не управляет сервисами на портах, он может разрешить или запретить к ним доступ.
Вы можете посмотреть какая программа использует порт
sudo netstat -lntupДалее нужно будет смотреть можно ли ее перекинуть на другой порт или нет, то есть есть ли такие настройки в программе.
Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков

ferum

alex@ferum:~$ sudo netstat -lntup
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name   
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      666/cupsd           
tcp        0      0 127.0.2.1:53            0.0.0.0:*               LISTEN      1/init             
tcp6       0      0 :::3000                 :::*                    LISTEN      727/AdGuardHome     
tcp6       0      0 ::1:631                 :::*                    LISTEN      666/cupsd           
tcp6       0      0 :::1716                 :::*                    LISTEN      1212/kdeconnectd   
udp        0      0 127.0.2.1:53            0.0.0.0:*                           1/init             
udp        0      0 0.0.0.0:631             0.0.0.0:*                           728/cups-browsed   
udp        0      0 0.0.0.0:36438           0.0.0.0:*                           578/avahi-daemon: r
udp        0      0 224.0.0.251:5353        0.0.0.0:*                           5840/opera         
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           578/avahi-daemon: r
udp6       0      0 fe80::127b:44ff:fe4:546 :::*                                633/NetworkManager 
udp6       0      0 :::1716                 :::*                                1212/kdeconnectd   
udp6       0      0 :::51510                :::*                                578/avahi-daemon: r
udp6       0      0 :::5353                 :::*                                578/avahi-daemon: r

Русские дебианщики против цифрового слабоумия !

ChubaDuba

#3
How To Free Up Port 53, Used By systemd-resolved
53 порт - это как правило что-то связанное с DNS.

suny

#4
Как я понимаю вы zapret устанавливаете, а в частности dnscrypt-proxy и скорее всего используете статью на Arch Wiki. Адрес 127.0.2.1 как раз и использует dnscrypt-proxy (другими словами это он и есть), хотя в Arch Wiki указан другой адрес.

ek-nfn

#5
Цитата: suny от 07 августа 2024, 04:52:08Как я понимаю вы zapret устанавливаете
для любителей ютуба гораздо проще установка https://github.com/Waujito/youtubeUnblock. Никаких головняков при установке и восстановление скорости загрузки при просмотре видео
Debian 12  -> Devuan 5 xfce -> MX Linux 23

suny

Цитата: ek-nfn от 07 августа 2024, 06:23:14для любителей ютуба гораздо проще установка https://github.com/Waujito/youtubeUnblock. Никаких головняков при установке и отличная работа.
Спасибо, изучу :-).

ogost

Цитата: ferum от 06 августа 2024, 22:03:13tcp        0      0 127.0.2.1:53            0.0.0.0:*               LISTEN      1/init
init слушает на 53 порту?? интересно аднака.

ferum

#8
Цитата: suny от 07 августа 2024, 04:52:08Как я понимаю вы zapret устанавливаете
Правильно понимаете, недостающий пакет dnscrypt-proxy для bookworm уже завернул и поставил.
Вот споткнулся на половине пути .... хотя могу всё поломать.
Какие есть соображения?
Наверное интерес уже больше спортивный.... больше народу хотят что бы мы youtube  и не только смотрели и читали, трудятся для нас. Пока довольствуюсь плагином для браузера и приложением в телевизоре.
Если прикроют придётся ставить собственный сервер vpn, самое трудное оплачивать, но и тут добрые люди подсуетились.

07 августа 2024, 10:16:37
Цитата: ChubaDuba от 07 августа 2024, 03:59:02How To Free Up Port 53, Used By systemd-resolved
Информация оказалась очень полезной, в мануале по Arch другое решение и оно по ходу не работает для debian (сеть падает при изменении /etc/resolv.conf)
Засада , действуя по мануалу я поставил iptables а в системе по дефолту уже nftables. надо переделывать, могу положить систему. как будет...

07 августа 2024, 10:45:03
Вроде тут что то по делу https://www.cyberciti.biz/faq/installing-dnscrypt-proxy-on-debian-linux/
но надо переварить.
Русские дебианщики против цифрового слабоумия !

suny

#9
Я для себя мини мануал сделал, настроил все работает, сейчас скину
https://github.com/bol-van/zapret

1. sudo cp -r ./zapret /opt
2. sudo ./install_bin.sh
3. sudo ./install_prereq.sh
4. sudo apt install dnscrypt-proxy
5. sudo nano /etc/dnscrypt-proxy/dnscrypt-proxy.toml

listen_addresses = []
server_names = ['scaleway-fr', 'google', 'yandex', 'cloudflare']

6. ss -lp 'sport = :domain' (проверяем запущенные службы на порту 53, должно быть пусто если dnscrypt-proxy остановлен)
7. sudo nano /etc/NetworkManager/NetworkManager.conf

[main]
dns=none

8. systemctl reboot (перезагрузка операционной системы)

9. sudo nano /etc/resolv.conf
удаляем все nameserver и вставляем

nameserver 127.0.2.1
options edns0 single-request-reopen

10. sudo systemctl enable dnscrypt-proxy.service && sudo systemctl start dnscrypt-proxy.service
11. sudo ./blockcheck.sh
12. sudo ./install_easy.sh
tpws
do you want to edit the options (default : N) (Y/N) ? Y

TPWS_OPT="--split-pos=1 --mss=88 --mss-pf=443"
-----
Снятие блокировки: /opt/zapret/zapret-hosts-user-exlude.txt
Ublock Origin: Больше -> Больше -> ...

07 августа 2024, 16:02:56
systemd-resoved не запускал, стратегия указанна которая работает у меня, в файл zapret-hosts-user-exlude.txt вношу dns адреса который плохо работают что бы они работали на прямую, вот думаю переделать что бы наоборот все работало напрямую, а те что нужно разблокировать были в отдельном файле. Пункт 10 выполнять не обязательно, так как службы уже запущенны автоматически. Сеть настроена через Netowrk Manager.

ferum

suny объясните пожалуйста почему пункт 5 оставили пустыми скобки ?
Я по арчевскому ману сделал ['127.0.0.1:53000', '[::1]:53000']

Какой у вас результат по пункту 6 ?
... и какой у вас дистрибутив?
 Совсем забыл мануал
https://www.youtube.com/watch?v=FdDC9R7gL-Y&t=14s
Но если смотреть не дают https://www.ssvid.net даёт скачать в максимальном качестве.
Русские дебианщики против цифрового слабоумия !

suny

Ставил адрес как в Арч Вики, после этого dns-crypto стартовал и завершался с ошибкой, оставил значения по умолчанию.
При запущенном dns-crypto такой же как у вас в первом посте, с выключенным dns-crypto - пусто.
Debian Sid

yoric

Цитата: ogost от 07 августа 2024, 07:33:50init слушает на 53 порту?? интересно аднака.
Это небось systemd-init

dr_faust

Цитата: ferum от 07 августа 2024, 08:31:17Засада , действуя по мануалу я поставил iptables а в системе по дефолту уже nftables. надо переделывать, могу положить систему. как будет...

Если правила написаны систаксисом iptables, то, по крайней мере в дебиан, пакет nftables спокойно удаляется, а фаервол работает.
Devuan 4. Debian 12. LXDE.