[ROZW] Blokada portu 631 tylko z zewnątrz IPTABLES

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

walczyk1985
Użytkownik
Posty: 4
Rejestracja: 2009-09-18, 22:51
Kontakt:

[ROZW] Blokada portu 631 tylko z zewnątrz IPTABLES

Post autor: walczyk1985 »

Witam.
Na wstępie jako że jestem nowy na forum witam wszystkich.

Zainstalowałem Slackware 13 i postawiłem na nim router z serwerem wydruku.
Moje pytanie dotyczy CUPS a dokładnie jego konfiguratora przez www. Zauważyłem że jako że port 631 jest otwarty mam do niego dostęp także z zewnątrz.

Jak zablokować port 631 tylko z zewnątrz (eth0) a pozostawić otwarty lokalnie (eth1) żeby możliwe było drukowanie w sieci lokalnej i konfiguracja przez http://localhost:631.

Mój plik cupsd.conf:

Kod: Zaznacz cały

 LogLevel info
SystemGroup sys root
# Allow remote access
Port 631
Listen /var/run/cups/cups.sock
# Enable printer sharing and shared printers.
Browsing On
BrowseOrder allow,deny
BrowseAllow all
BrowseAddress @LOCAL
DefaultAuthType Basic
<Location />
  Allow all
  # Allow shared printing...
  Order allow,deny
  Allow @LOCAL
</Location>
<Location /admin>
  Encryption Required
  Allow localhost
  Deny all
  # Restrict access to the admin pages...
  Order allow,deny
</Location>
<Location /admin/conf>
  AuthType Default
  Require user @SYSTEM
  # Restrict access to the configuration files...
  Order allow,deny
</Location>
<Policy default>
  <Limit Send-Document Send-URI Hold-Job Release-Job Restart-Job Purge-Jobs Set-Job-Attributes Create-Job-Subscription Renew-Subscription Cancel-Subscription Get-Notifications Reprocess-Job Cancel-Current-Job Suspend-Current-Job Resume-Job CUPS-Move-Job>
    Require user @OWNER @SYSTEM
    Order deny,allow
  </Limit>
  <Limit CUPS-Add-Modify-Printer CUPS-Delete-Printer CUPS-Add-Modify-Class CUPS-Delete-Class CUPS-Set-Default>
    AuthType Default
    Require user @SYSTEM
    Order deny,allow
    Allow @local
  </Limit>
  <Limit Pause-Printer Resume-Printer Enable-Printer Disable-Printer Pause-Printer-After-Current-Job Hold-New-Jobs Release-Held-New-Jobs Deactivate-Printer Activate-Printer Restart-Printer Shutdown-Printer Startup-Printer Promote-Job Schedule-Job-After CUPS-Accept-Jobs CUPS-Reject-Jobs>
    AuthType Default
    Require user @SYSTEM
    Order deny,allow
  </Limit>
  <Limit CUPS-Authenticate-Job>
    Require user @OWNER @SYSTEM
    Order deny,allow
  </Limit>
  <Limit All>
    Order deny,allow
  </Limit>
</Policy>
Ostatnio zmieniony 2009-09-22, 08:59 przez walczyk1985, łącznie zmieniany 1 raz.

Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: [ROZW] Blokada portu 631 tylko z zewnątrz IPTABLES

Post autor: Pajaczek »

Kod: Zaznacz cały

iptables -A INPUT -i eth0 -p tcp --dport 631 -j DROP


[ Dodano: 2009-09-19, 00:26 ]
Albo też posługując się dyrektywami Allow/Deny:
Allow all
Allow none
Allow host.domain.com
Allow *.domain.com
Allow ip-address
Allow ip-address/netmask
Allow ip-address/mm
Allow @IF(name)
Allow @LOCAL

Allows access from the named hosts or addresses.

Deny all
Deny none
Deny host.domain.com
Deny *.domain.com
Deny ip-address
Deny ip-address/netmask
Deny ip-address/mm
Deny @IF(name)
Deny @LOCAL

Denies access to the named host or address.
To ty było

Kod: Zaznacz cały

Deny @IF(eth0)
gdzieś w globalu... o ile się nie mylę.

walczyk1985
Użytkownik
Posty: 4
Rejestracja: 2009-09-18, 22:51
Kontakt:

Re: [ROZW] Blokada portu 631 tylko z zewnątrz IPTABLES

Post autor: walczyk1985 »

Port faktycznie jest zamknięty z zewnątrz ale nadal po wpisaniu w przeglądarce ip z portem wyświetla się serwer CUPS. Dodam, że nie jestem w tej samej sieci lokalnej.

Dodam, że wyświetla się serwer CUPS ale nie mam żadnych uprawnień. Jedynie moge zobaczyc jakie drukarki sa zainstalowane.

Jednak BrowseAddress @IF(eth0) nie pomogło, nadal mam dostęp z zewnątrz
Ostatnio zmieniony 2009-09-19, 00:04 przez walczyk1985, łącznie zmieniany 4 razy.

maho
Użytkownik
Posty: 455
Rejestracja: 2006-03-25, 12:28
Lokalizacja: Kielcowo

Re: [ROZW] Blokada portu 631 tylko z zewnątrz IPTABLES

Post autor: maho »

Kod: Zaznacz cały

# Only listen for connections from the local machine.
Listen localhost:631
#Port 631
lub

Kod: Zaznacz cały

Listen 192.168.x.y:631 #adres serwera
dla sieci lokalnej :)
Ostatnio zmieniony 2009-09-19, 00:27 przez maho, łącznie zmieniany 3 razy.

walczyk1985
Użytkownik
Posty: 4
Rejestracja: 2009-09-18, 22:51
Kontakt:

Re: [ROZW] Blokada portu 631 tylko z zewnątrz IPTABLES

Post autor: walczyk1985 »

Pytanie czy:
Listen 192.168.0.1:631
nie spowoduje że dostęp do drukarek i drukowania będę miał tylko z serwera (192.68.0.1) a np z ip 192.168.0.5 już nie? Czy to nie ma nic z tym wspólnego i po mimo tego wpisu bedzie nadal dostęp z całej sieci lokalnej?

Sprawdziłem, to również nie działa.

Czy to normalne, że po mimo że wyłącze CUPS /etc/rc.d/rc.cups stop to nadal jest dostęp do konfiguratora CUPS?
Ostatnio zmieniony 2009-09-19, 00:42 przez walczyk1985, łącznie zmieniany 2 razy.

maho
Użytkownik
Posty: 455
Rejestracja: 2006-03-25, 12:28
Lokalizacja: Kielcowo

Re: [ROZW] Blokada portu 631 tylko z zewnątrz IPTABLES

Post autor: maho »

Listen 192.168.0.1:631 - slucha na cala siec 0.x przy masce /24 i powinienes miec dostep z 0.5
U mnie dziala :)
Ostatnio zmieniony 2009-09-19, 20:58 przez maho, łącznie zmieniany 1 raz.

Awatar użytkownika
Bing
Pomocnik
Posty: 825
Rejestracja: 2004-12-26, 22:40
Lokalizacja: Sk-ce
Kontakt:

Re: [ROZW] Blokada portu 631 tylko z zewnątrz IPTABLES

Post autor: Bing »

Kod: Zaznacz cały

iptables -I INPUT -i eth0 -p tcp --dport 631 -j DROP
powinno zblokowac dostep
Pozdrawiam
Bing

walczyk1985
Użytkownik
Posty: 4
Rejestracja: 2009-09-18, 22:51
Kontakt:

Re: [ROZW] Blokada portu 631 tylko z zewnątrz IPTABLES

Post autor: walczyk1985 »

Pomogło:

Kod: Zaznacz cały

Listen 192.168.0.1:631
Listen 192.168.0.0/24:631
Oba wpisy rozwiązują problem.

Dięki wielkie za pomoc. Pozdrawiam.

ODPOWIEDZ