Portas abrindo aleatoriamente

[rhed2k]

Pessoal fiz a pesquisa aqui no forum e nao encontrei nada parecido, ai vai o meu problema, postei um topico a um tempo já, falando sobre a demora de respsota esporadica no meu server um cl8 , bom seguindo a dica do pessoal instalei o IPTRAF e agora acompnho mais de perto o que tá acontecnedo,mas muita coisas ainda passa despercebida pq sou bem newbie em redes e trafego e etc...
Com o IPTRAF percebi que as paradas qdo aconteciam, geravam um grande quantidade de dados sendo enviadas ou recebidas por algum a porta acima de 30 mil , e sempre quando eu percebi essa demora eu checavao iptraf e existia uma porta lá aberta recebendo ou enviando dados, tentei fecha-las com iptables mas nem sempre obtinha sucesso.
Mas o estranho é que as portas iam subindo, aparecia a porta 48576 por exemplo, dai eu dava u mcomando de iptable .. DROP e REJECT na porta e depois e algum tempo ela até parava e depois qdo acontecia dinovo , aparecia a porta 48577 ou 48578, mas sempre incrementando.
Nao consegui descobrir da onde vem isso, ou pra onde vai, alguem dá uma dica do que posso fazer para fechar uma porta na hora seja ela TCP ou UDP ?
Dei o comando NETSTAT -nl e as portas com atividade absurda nao sao listadas /

Qq ajuda será bem-vinda ! Obrigado amigos !!!

[lacierdias]

Mano oq roda nesta maquina além do FW pq se não roda nenhum serviço para internet como Apache vc pode colocar seu input drop e só permite pacotes solicitados e gerados por sua rede interna de passar pelo fw....Resolvido seu problema..rsrs
Se continuar a pane é dentro da sua rede e não no FW
Abraço

[gmlinux]

tenta:
netstat -anp
na proxima

[rhed2k]

Beleza broders...

LacierDias, eu rodo apache aki tbem :0( e infelizmente quand oeu faço alguns testes aqui pra tentar descobrir o que tá pegando já ligam aqui reclamando que não conseguem acessar o site e tudo mais... é fogo !! MAs obrigado !!

GmLinux, vou tentar cara... obrigado !

Qual FW vcs indicam ?

OBrigado , falow !!

[DropALL]

Veio,

Esse servidor é o Firewall da tua rede? Ou só hospeda o site?
Quantas maquinas navegam atraves dele ? (caso seja firewall/proxy)

Se esse trafego com portas altas e incrementais estiver apenas passado pelo seu firewall vindo da sua rede-local, o mais provavel é maquina na tua rede infectada com spy, trojan ou coisa do tipo...

Agora se for originadas do teu server... hehe, é provavel que você tenha sido invadido e está infectado com algum rootkit, o que não é muito dificil por você estar com um server antigo (CL8) e ainda provendo web... qualquer coisa pra testar teu server, baixa o "chkrootkit".

[lacierdias]

Beleza broders...

LacierDias, eu rodo apache aki tbem :0( e infelizmente quand oeu faço alguns testes aqui pra tentar descobrir o que tá pegando já ligam aqui reclamando que não conseguem acessar o site e tudo mais... é fogo !! MAs obrigado !!

GmLinux, vou tentar cara... obrigado !

Qual FW vcs indicam ?

OBrigado , falow !!

Mesmo assim abre só ela então barra o resto..
Assim:
#Apache
iptables -A INPUT -p tcp --dport 80 --syn -j ACCEPT
Facim facim...

Valeu

[rhed2k]

Beleza vou fazer..

Só pra confirmar , como é teu comando pra bloquear todas, e bloqueia todas TCP e UDP de uma vez já ?
Pq preciso liberar tbem as do pop e smtp e https

Valew !!!

[lacierdias]

Beleza vou fazer..

Só pra confirmar , como é teu comando pra bloquear todas, e bloqueia todas TCP e UDP de uma vez já ?
Pq preciso liberar tbem as do pop e smtp e https

Valew !!!

iptables input drop
barra geral
Ai vc vem abrindo oq vc precisar

[rhed2k]

Obrigado Lacier

[rhed2k]

Amigos descobri o problema, ao menos acompanhando desde cedo ,percebi o seguinte, possuo aki o qmail rodando tbem.
E quando uma porta se abre e eu fico sem conexão com a rede, é na verdade o qmail-remote q abre a porta e fica enviando o email pro servidor.
Já pensei em determinar um tamanho máximo pros e-mails que saem daqui,mas nao sei se só isso vai ser bom.
Obrigado a todos pelas dicas, estou pensando em migrar pra outro SO, como o DEBIAN ou SLACKWARe,mas é complicado aqui, pq nao se tem um tempo livre para fazer essa migração toda e nem pc pra fazer em paralelo.
O CL8 começou como teste e acabou ficando..

Agradeço a todos e no que puderem me ajudar quanto ao Qmail eu fico mais grato ainda,mas mesmo assim to pesquisando na net, pra ver se encontro uma solução mais certeira, ou consigo fazer com que o qmail-remote envie os emails mas de forma que nao roube toda a conexão para ele.

Flw pessoal !!!

[felco]

www.ipcop.org
pega esse cara ai eh instala em qualquer pentium 100 com 32mb ram eh faz dele teu firewall eh proxy da sua rede dexa ele cuida disso sozinho eh pega essa maquina com cl8 e faz de apache dexa ela fica so com apache
se vai perde algumas horas ou um final de semana mas vai fica satisfeito com certeza

[lacierdias]

Irmão pode botar fé no Fedora Core 3 vc vai adorar...
Se for migrar está é a melhor escolha...ele tem tudinho e tem apt-get também...é showwww
Abraço