Porta 32768? Named?

[c4f0f0]

Pessoal,

Tenho um servidor aqui que é squid, e proxy reverso, a porta 32768 esta aberta, e tem muita gente de fora fazendo acesso a essa porta, verifiquei que quem abriu a porta foi o named, e as requisições são de máquinas da net com porta de origem 53 UDP e a porta de destino 32768 UDP no meu servidor, alguém sabe se isso é normal? o que essa porta faz realmente?

[]`s
Cafofo

[alexandrecorrea]

seu servidor dns esta sendo usado por terceiros...

no seu named.conf dentro de options {} adicione:

allow-recursion { 127.0.0.1; 192.168.0.0/24; };

vc coloca ai as redes que podem usar seu dns..

[hijack]

Estou com o mesmo problema, sendo q eu não estou utilizando o bind.
Estou suando SuSE 10.1 e o squid 2.5.STABLE12
O pior de tudo é que não existe nada no google, e nem mesmo nas documentações do squid.
De onde sugiu essa por 32768/udp, é o squid que abre, mas onde eu desabilito?

Abraços!

[alexandrecorrea]

porta local ou remota ??

[hijack]

ela fica aberta pra qualquer endereço.... 0.0.0.0:32768
Mas eu me liguei em uma coisa, se eu restartar o serviço do squid, essa porta muda de forma incremental... tipo, agora ela ta em 32770

[alexandrecorrea]

coloca no squid.conf

icp_port 0
snmp_port 0


veja se vai fechar

[hijack]

opa, nao, eu ja tinha colocado... essas 2 são de outras 2 portas udp q ele estava abrindo... 3 mil e alguma coisa, nao lembro de cabeça agora...
o que ta me enxendo eh essa porta alta randomica... e eu nem sei o que procurar no google, porque a porta nunca eh a mesma, so sei q eh acima de 32768 e UDP... agora nao sei se de lei ela é sempre acima.

[alexandrecorrea]

olhei aqui em todos os meus servidores proxy ...

o squid abriu uma porta udp !! mas o NAMED tambem com a mesma porta aberta..

ai rodei o cache manager...

6 Socket 0 537930 91947 .0 DNS Socket

acredito q essa porta pode ter alguma ligaçao com esse socket de dns ... uma conexao permanente com o servidor de dns...

veja se o named tambem lista na mesma porta... isso esta IGUAL em todos os servidores..

[hijack]

poise, o pouco q eu achei na net foi essa relação, mas o estranho eh q essa maquina nao tem server de DNS.

[alexandrecorrea]

mas ele cria esse socket com o servidor dns que vc informa no squid.conf OU nos servidores que tem no /etc/resolv.conf

[hijack]

cara, essa é a pergunta que não quer calar... heheheheh
essa maquina tá sem o bind... ainda!
Como eu faço para saber com qual aplicação ele fechou o socket? Comecei com linux esse ano, minha praia eh Microsoft, hehehehe

Valeu pela ajuda... Ah, e so vou poder dar o feedback amanha dae, pq o servidor está na empresa...

abraços!

[alexandrecorrea]

entao...

mas o squid precisa acessar um servidor dns local ou remoto !!

se vc nao tem o bind local... ele esta conectando em um bind REMOTO !!!

em maquinas com squid.. aconselho vc rodar um bind local.. para acelerar o tempo de resposta de dns !!!

[hijack]

Sim, essa é a intenção, ele vai ser apenas proxy...
Ele vai rodar...
iptables (vou colocar o firewall builder pra compilar, pra mim fica melhor pra gerenciar os firewall da empresa, ainda mais que to começando agora a entrar de cabeça no linux)
snort
acid
sarg
mrtg
sshd
apache
mysql (para os relatorios, modo local)
squid
samba (autenticação no AD)
bind (seria apenas para os clientes consultarem o dns mesmo, ninguem externamente vai consultar ele, e não terá dominio hospedado)

Então, o resto ta tudo redondo e 100%, fiz um kernel monolitico, a performance ta boa... eu queria rodar o squid com o diskd, mas isso vai ficar mas pra frente pq esse server eu vou por no ar na segunda feira... assim como a VPN com a matriz, mas eu to escrevendo o projeto dela ainda, e ver qual a melhor maneira de fazer em termos de segurança...

Minha duvida era se eu precisava me preocupar com essa porta, mas se você me disse que eh um socket com o dns, to mais tranquilo...
em alguns foruns que achei no google, o pessoal comentava um grande numero de acessos nessa porta, fiquei um pouco preocupado...
no firewall eu tenho que deixar essa porta aberta pra quem? Rede interna apenas? ou nem isso?

Abraço!

[alexandrecorrea]

pode fechar todas as portas (INPUT) externas...

e abra somente os serviços que voce precisa acessar externamente..