Безопасность 2Gi

diman27 · 01.11.2012, 14:59

При подключении через модем девайс светит открытыми портами на весь мир. Список портов: 21(FTP), 22(SSH), 80(HTTP), 502(ModbusTCP), 1111(не знаю что за порт).
Реально нужен только 80, ну и 22 иногда для отладки. Остальное хотелось бы иметь возможность закрыть. Может стоит включить поддержку iptables в ядро??? А уж пользователь сам решит, использовать ее или нет.

Ну и до кучи вторая хотелка. Если вы не в курсе, то сотовые операторы при подключении услуги прямой IP давно не выделяют статический IP. Выделяется только динамический белый IP. Пришлось самому писать скрипт клиента DynDNS. Но при этом логин/пароль от DynDNS передается в открытом виде. Хотелось бы также видеть в ядре стандартного linux клиента dyndns.

Arsie · 01.11.2012, 16:00

Цитата:

Сообщение от diman27

При подключении через модем девайс светит открытыми портами на весь мир. Список портов: 21(FTP), 22(SSH), 80(HTTP), 502(ModbusTCP), 1111(не знаю что за порт).
Реально нужен только 80, ну и 22 иногда для отладки.

Реально нужно больше чем два порта.

Цитата:

Сообщение от diman27

Остальное хотелось бы иметь возможность закрыть. Может стоит включить поддержку iptables в ядро??? А уж пользователь сам решит, использовать ее или нет.

Ну и до кучи вторая хотелка. Если вы не в курсе, то сотовые операторы при подключении услуги прямой IP давно не выделяют статический IP. Выделяется только динамический белый IP. Пришлось самому писать скрипт клиента DynDNS. Но при этом логин/пароль от DynDNS передается в открытом виде. Хотелось бы также видеть в ядре стандартного linux клиента dyndns.

Можете рассказать, почему DynDNS, а не аналогичные другие?

diman27 · 01.11.2012, 16:50

Цитата:

Сообщение от Arsie

Реально нужно больше чем два порта.

Тут пользователь сам должен решить какие порты ему открыть, а какие нет. Имею ввиду в уже готовом устройстве, не на этапе отладки. А что, есть какие то принципиальные сложности с включением поддержки iptables в ядре linux?

Цитата:

Сообщение от Arsie

Можете рассказать, почему DynDNS, а не аналогичные другие?

Да необязательно DynDNS, любой другой сервис предоставляющий услуги динамического DNS. Или может подскажите другой способ, как найти адрес своего модема в пуле IP адресов, выдаваемых оператором? Отправлять себе СМС с текущим IP адресом...))) Да и вроде как клиентов DDNS под linux хватает, в чем сложность то? Ну или deb пакет выложите хотя бы.

Den · 06.11.2012, 10:10

Цитата:

Сообщение от diman27

Тут пользователь сам должен решить какие порты ему открыть, а какие нет. Имею ввиду в уже готовом устройстве, не на этапе отладки. А что, есть какие то принципиальные сложности с включением поддержки iptables в ядре linux?

Сложностей нет. Данный пакет включен в состав ПО сервера SMConnect, поскольку он там используется. На клиентах надобности не было, поэтому не добавляли. Можем добавить.

Цитата:

Сообщение от diman27

Да необязательно DynDNS, любой другой сервис предоставляющий услуги динамического DNS. Или может подскажите другой способ, как найти адрес своего модема в пуле IP адресов, выдаваемых оператором? Отправлять себе СМС с текущим IP адресом...))) Да и вроде как клиентов DDNS под linux хватает, в чем сложность то? Ну или deb пакет выложите хотя бы.

Адрес модема можно увидеть в системном меню контроллера.
По поводу клиента dyndns, возможно мы его добавим в будущем. Если Вам необходимо срочно, то сообщите или свяжитесь со мной по асе 82490635

diman27 · 06.11.2012, 18:38

Цитата:

Сообщение от Den

Сложностей нет. Данный пакет включен в состав ПО сервера SMConnect, поскольку он там используется. На клиентах надобности не было, поэтому не добавляли. Можем добавить.

Если есть возможность, то добавьте. На производительности контроллера это не должно сильно сказаться.

Цитата:

Сообщение от Den

Адрес модема можно увидеть в системном меню контроллера.
По поводу клиента dyndns, возможно мы его добавим в будущем. Если Вам необходимо срочно, то сообщите или свяжитесь со мной по асе 82490635

Адрес модема меняется при каждом подключении, а также принудительно оператором, если я не у контроллера, то посмотреть его некому. Жесткий статический IP выдается только в корпоративных тарифах МТС. При подключении услуги RealIP вы получаете только динамический из пула.
Срочности нет, написал своего клиента. В случае изменения IP адреса модема, скрипт отправляет его на сервер dyndns.org средствами wget.

01.11.2012, 14:59	#1
diman27 Новичок Регистрация: Sep 2012 Сообщения: 29 Благодарил(а): 0 раз(а) Поблагодарили: 0 раз(а) в 0 сообщениях	Безопасность 2Gi При подключении через модем девайс светит открытыми портами на весь мир. Список портов: 21(FTP), 22(SSH), 80(HTTP), 502(ModbusTCP), 1111(не знаю что за порт). Реально нужен только 80, ну и 22 иногда для отладки. Остальное хотелось бы иметь возможность закрыть. Может стоит включить поддержку iptables в ядро??? А уж пользователь сам решит, использовать ее или нет. Ну и до кучи вторая хотелка. Если вы не в курсе, то сотовые операторы при подключении услуги прямой IP давно не выделяют статический IP. Выделяется только динамический белый IP. Пришлось самому писать скрипт клиента DynDNS. Но при этом логин/пароль от DynDNS передается в открытом виде. Хотелось бы также видеть в ядре стандартного linux клиента dyndns. __________________ SMH2Gi (kernel 2.6.29.92; logix 0.264.49) SMLogix 3.24.0277 Последний раз редактировалось diman27, 01.11.2012 в 15:10