ফায়ারওয়াল কোনও বন্দরের জন্য খোলা হয়েছে কিন্তু বন্দরে শোনেনি তা কীভাবে পরীক্ষা করবেন


29

আমরা একটি সার্ভারে একটি নতুন অ্যাপ্লিকেশন স্থাপন করব এবং অ্যাপ্লিকেশনটি 43৪৪৪ বন্দরে শুনবে। আমরা অ্যাপ্লিকেশনটি শুরুর আগে নেটওয়ার্ক টিমকে সেই সার্ভারে ৮৪৩৪ বন্দরটির ফায়ারওয়ালটি খুলতে বলেছি। সার্ভারে সেই বিশেষ বন্দরে বর্তমানে কোনও অ্যাপ্লিকেশন শোনা যাচ্ছে না।

যাইহোক আছে কি আমি নিশ্চিত করতে পারি যে ফায়ারওয়ালটি 8443 বন্দরের জন্য খোলা আছে

ওএস: লিনাক্স / উইন্ডোজ

উত্তর:


16

যদি আপনি দেখতে চান যে আপনি কোনও রিমোট মেশিন থেকে টিসিপি সংযোগ তৈরি করতে পারেন, তবে ওপেনসিএসডাব্লু এটির ও টার্গেট মেশিনে ইনস্টল করুন এবং উভয়টিতে নেটক্যাট ইনস্টল করুন। এটি টিসিপি সংযোগ পরীক্ষা করার জন্য নেটক্যাট ব্যবহারের জন্য সিনট্যাক্স:

nc -vz targetServer portNum

উদাহরণস্বরূপ "হোম সার্ভার 1" তে এসএসএইচ পরীক্ষা করতে:

nc -vz homeserver1 22

এটি আপনাকে দূরবর্তী সিস্টেম থেকে টিসিপি-স্তরীয় সংযোগের পরীক্ষা করতে সক্ষম করে। নেটকাট ক্লায়েন্ট হিসাবে কাজ না করে পোর্টে শুনতে কনফিগার করা যায়। এটি টিসিপি / ৮৪৪৪ শুনতে শুনতে:

যে সার্ভারটিতে অ্যাপ্লিকেশনটি থাকবে: nc -l homeserver1 8443

ফায়ারওয়ালের বাইরে বসে এমন একটি মেশিনে: nc -vz homeserver.fqdn 8443

এটি সফল মৃত্যুদণ্ডের উদাহরণ:

[jadavis6@ditirlns01 ~]$ nc -vz ditirlns01.ncat.edu 8443
Connection to ditirlns01.ncat.edu 8443 port [tcp/pcsync-https] succeeded!

একটি ব্যর্থ কার্যকর:

[jadavis6@ditirlns01 ~]$ nc -vz ditirlns01.ncat.edu 8443
nc: connect to ditirlns01.ncat.edu port 8443 (tcp) failed: Connection refused

এটি (যথেষ্ট) কোনও ফায়ারওয়াল বন্দরটিকে অবরুদ্ধ করছে কিনা এই প্রশ্নের সমাধান করে না। মনে হয় যে ncবন্দরটি অ্যাক্সেসযোগ্য হলে "সংযোগ অস্বীকার" প্রতিবেদন করা হয়েছে, তবে কোনও শ্রোতা নেই এবং "নেটওয়ার্ক অ্যাক্সেসযোগ্য নয়" যখন অনুরোধটি ফায়ারওয়াল দ্বারা আইসিএমপি মাধ্যমে বাউন্স করা হয়েছে (যার অর্থ বন্দরে কোনও পরিষেবা থাকতে পারে বা নাও হতে পারে) )। ফায়ারওয়াল যদি প্যাকেটটিকে আসলে প্রত্যাখ্যান করার পরিবর্তে ফেলে দেয় ncতবে কিছুক্ষণের জন্য স্তব্ধ হয়ে যাবে।
স্বর্ণিলোক

ঠিক আছে, সর্বশেষ নেটক্যাট কমান্ডের সাথে আমার লক্ষ্যটি ছিল কেবল কোনও কার্যকর মৃত্যুদন্ড এবং ব্যর্থ মৃত্যুদন্ডের একটি উদাহরণ প্রদান করার জন্য যা যদি কোনও কারণে তাদের কাছে অস্পষ্ট থাকে তবে তাদের শেষের কোনও ফলাফল ব্যাখ্যা করতে সহায়তা করে। যে অংশটি তাদের প্রশ্নের উত্তর দেয় তা হ'ল প্রথম "একটি মেশিনে" / "সার্ভারে" অংশ।
ব্র্যাচলে

আমি জানি প্রশ্নটি সোলারিস 10 সম্পর্কিত ছিল, তবে একটি এফওয়াইআই হিসাবে, ভি 11 এর রেপোতে নেটক্যাট উপলব্ধ।
স্লিপইয়েজেল

15

ফায়ারওয়ালরা যখন কোনও অনুরোধ অবরুদ্ধ করে তখন তাদের একটি আইএমএমপি বার্তা দিয়ে উত্তর দেওয়া উচিত । তবে এটি অগত্যা ক্ষেত্রে নয় (আপনি এই চমৎকার নিবন্ধে আগ্রহী হবেন )।

আপনি কোনও ফায়ারওয়ালের মাধ্যমে কোনও বন্দর অ্যাক্সেসযোগ্য কিনা তা পরীক্ষা করে দেখতে পারেন এবং যদি তাই হয় তবে তাতে কিছু শুনছে কিনা। এখানে টিসিপি অনুরোধের সাথে জড়িত তিনটি ভিন্ন পরিস্থিতি যা আপনি পর্যবেক্ষণ করতে পারেন wireshark, বা অন্য কোনও প্যাকেট স্নিফার এবং আপনি কী দেখতে পাবেন:

1) ফায়ারওয়াল অনুরোধ প্রত্যাখ্যান

আপনি একটি আইসিএমপি বার্তা ফিরে পেয়েছেন এবং অনুরোধ করার সরঞ্জামটি আপনাকে অবিলম্বে এই প্রভাবটির জন্য কিছু বলা উচিত ("অ্যাক্সেসযোগ্য, প্রশাসক নিষিদ্ধ" ইত্যাদি) etc "সরঞ্জাম" দ্বারা আমার অর্থ আপনি যে ক্লায়েন্টটি অনুরোধটি প্রেরণ করতে ব্যবহার করছেন (আমি ব্যবহার করেছি telnet)। বার্তা 1 এর বিশদটি ফায়ারওয়াল কীভাবে কনফিগার করা হয়েছে তার উপর নির্ভর করে তবে "পোর্ট অলঙ্ঘনযোগ্য" সম্ভবত সবচেয়ে সাধারণ।

"হোস্ট করার কোনও রুট" এটি নির্দেশ করতে পারে না তবে এটি আরও সূক্ষ্ম রাউটিং সমস্যাগুলিও ইঙ্গিত করতে পারে।

2) ফায়ারওয়াল ড্রপ প্যাকেট

কোনও উত্তর নেই, সুতরাং সরঞ্জামটি সময় শেষ না হওয়া বা আপনি বিরক্ত হওয়া অবধি অপেক্ষা করে।

3) ফায়ারওয়াল প্যাকেট অনুমতি দেয় (বা কোনও ফায়ারওয়াল নেই), কিন্তু বন্দরে কিছুই শোনা যাচ্ছে না।

আপনি একটি টিসিপি আরএসটি / এসি কে বার্তা পাবেন। আমার ধারণা টিসিপি প্রোটোকলের জন্য এটির প্রয়োজন। অন্য কথায়, বন্দরে যদি কিছু শুনছে না, ওএস নিজেই এই উত্তরটি প্রেরণ করে। কোনও সরঞ্জাম যে রিপোর্ট করেছে তার উপর ভিত্তি করে এটি # 1 থেকে আলাদা করা কঠিন হতে পারে কারণ এটি উভয় ক্ষেত্রে একই কথা বলে থাকতে পারে (তবে, সম্ভবত "সংযোগ প্রত্যাখ্যান করা" বনাম # 1, "নেটওয়ার্ক অ্যাক্সেস অযোগ্য" হিসাবে এটি আলাদা করতে পারে) )। ক্লায়েন্ট মেশিনে একটি প্যাকেট স্নিফায়ারে পর্যবেক্ষণ করা হয়েছে, দৃশ্য # 1 (আইসিএমপি প্রত্যাখ্যান বার্তা) এবং # 3 (টিসিপি আরএসটি / এসি কে বার্তা) স্পষ্টতই স্বতন্ত্র।

এখানে কেবলমাত্র অপশনটি হ'ল প্যাকেটটি ফায়ারওয়ালের মাধ্যমে মঞ্জুরিপ্রাপ্ত এবং কিছু শুনছে, তাই আপনি একটি সফল সংযোগ পান।

অন্য কথায়: আপনার নেটওয়ার্কিংকে সাধারণভাবে ধরে নেওয়া সঠিকভাবে কাজ করে, যদি আপনি # 1 বা # 2 পান তবে এর অর্থ একটি ফায়ারওয়াল সক্রিয়ভাবে বন্দরে অ্যাক্সেস রোধ করছে। # 3 ঘটবে যদি আপনার সার্ভারটি চালু না থাকে তবে বন্দরটি অ্যাক্সেসযোগ্য এবং অবশ্যই (অন্তর্ভুক্ত) # 4 একটি সফল সংযোগ।


  1. উদাহরণস্বরূপ, "পোর্ট অলঙ্ঘনযোগ্য", "হোস্ট নিষিদ্ধ", হোস্ট / পোর্ট / অ্যাডমিন এবং অপ্রয়োজনীয় / নিষিদ্ধের বিভিন্ন সংমিশ্রণ ; এগুলি বার্তায় সন্ধান করুন কারণ এগুলি খেলতে আইপি ফায়ারওয়ালের একটি সুস্পষ্ট ইঙ্গিত।

4

আপনি কোনও কমান্ডটি netstatকোনও পোর্টটি খোলা এবং শুনছে কিনা তা দেখতে ব্যবহার করতে পারেন ।

উদাহরণ

$ netstat -anp | less
Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   
tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      -                   
tcp        0      0 0.0.0.0:41716               0.0.0.0:*                   LISTEN      -                   
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      -                   
tcp        0      0 127.0.0.1:631               0.0.0.0:*                   LISTEN      -                   
tcp        0      0 0.0.0.0:17500               0.0.0.0:*                   LISTEN      3034/dropbox        
tcp        0      0 0.0.0.0:17501               0.0.0.0:*                   LISTEN      3033/dropbox        
tcp        0      0 127.0.0.1:2143              0.0.0.0:*                   LISTEN      3191/ssh                       
tcp        0      0 127.0.0.1:2025              0.0.0.0:*                   LISTEN      3191/ssh 

আউটপুট টিসিপি পোর্টগুলিতে শোনার প্রক্রিয়াগুলি (ডানদিকের কলাম থেকে ডানদিকে) প্রদর্শন করে। পোর্ট নম্বরগুলি হ'ল এমন নম্বর যা আইপি ঠিকানার পরে কলোনগুলি অনুসরণ করে (0.0.0.0 प्रशंसा11 উদাহরণস্বরূপ পোর্ট 111 হবে)।

IP ঠিকানা দেন স্থানীয় এবং বিদেশী ঠিকানাস্থানীয় আপনার সিস্টেম হবে যখন বিদেশী কোনও ঠিকানা হবে এটি হয় আপনার টিসিপি পোর্টের সাথে সংযুক্ত রয়েছে বা আপনি তাদের কোনও টিসিপি পোর্টের সাথে সংযোগ করছেন।

সুতরাং 22 পোর্টের ক্ষেত্রে, এটি আমার সিস্টেমে ssh ডিমন চলমান, এটি সংযোগের জন্য তালিকাবদ্ধ । কেউ একবার ডিমনটির সাথে সংযোগ স্থাপনের চেষ্টা করলে sshএটির একটি অনুলিপি নিজের কাছে নিয়ে যায় এবং টিসিপি বন্দরটি প্রবেশের সাথে সাথে 22 টি অতিরিক্ত সংযোগের জন্য উন্মুক্ত রেখে অন্য বন্দরের সাথে যোগাযোগ স্থাপন করে।


নেটস্ট্যাট সিনট্যাক্সটি খুব জিএনইউ-নির্দিষ্ট, কেবল একটি এফওয়াইআই, এটি সোলারিসের স্থানীয়ভাবে কাজ করে এমন নিকটতম সমতুল্য: netstat -a -P tcp -f inet | awk '/LISTEN$/ {print $0}'
ব্র্যাচলে

সোলারিসের মূলমন্ত্রটি হওয়া উচিত "কিছুই কখনও সহজ নয়"।
ব্র্যাচলে

1

ফায়ারওয়াল কনফিগারেশনের কনফিগারেশন এবং স্থিতি ফায়ারওয়াল / ওএস নির্দিষ্ট।

আপনি যা করতে পারেন তা সার্ভার 2 থেকে এটি ব্যবহার করে দেখুন:

nmap server1

আপনার সাহায্যের জন্য ধন্যবাদ. দুর্ভাগ্যক্রমে এই আদেশটি সোলারিসে নেই (বা ইনস্টল করা হয়নি)। আমি "
এনএমএপ

@ ব্যবহারকারী1734143 এটি সম্ভবত "স্টোরগুলি" বা সোলারিস সমতুল্য, তবে যাইহোক আপনি এটি ডাউনলোড করতে পারেন এবং এখান
আরএসফালকন 7

@ ব্যবহারকারী1734143 এটি ওপেনসিএসডাব্লুয়ের মাধ্যমে উপলব্ধ যা আপনার সম্ভবত কোনওভাবে ইনস্টল করা উচিত, আপনার প্রশাসনিক অভিজ্ঞতা অনেক সহজ করে তোলে।
ব্র্যাচলে

1

সম্প্রতি আমি একই অনুরোধ পেয়েছি এবং থ্রেডে এসেছি। আমি এনসি কমান্ড দিয়ে এফডাব্লুতে ওপেন পোর্টগুলি স্ক্যান করতে সক্ষম হয়েছি, যেমন আমি এর আউটপুটটি জিজ্ঞাসা করেছি:

nc -v -w 1 -z -s *srcIP destIP port* 2>&1 | grep timed > /dev/null && echo closed || echo open

মূলত, যদি আমি 'টাইমআউট' হয়ে যাই তবে এর অর্থ হ'ল বন্দরটি এফডাব্লুতে খোলা নেই।


0

বাইরের হোস্টরা টিসিপি সংযোগ স্থাপন করতে পারে কিনা তা দেখতে আপনি www.firewallruletest.com এর মতো একটি অনলাইন সরঞ্জাম ব্যবহার করতে পারেন।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.