- ベストアンサー
Fedora35
sudo firewall-cmd --permanent --remove-port=445/tcp --zone=public このようにしてポートを塞ぎたいのですが、Warning: NOT_ENABLED: 445:tcpというエラーが出てしまって、結局のところ塞げていません。 ご教示お願いします。
- 電圧 MAX(@voltage999)
- お礼率71% (459/644)
- セキュリティ対策
- 回答数4
- ありがとう数4
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
その他の回答 (3)
- AsarKingChang
- ベストアンサー率46% (3467/7473)
今回確信がやや「ない」投稿になります。 >sendto in send_ip_packet_sd: sendto(4, packet, 44, 0, 192.168.56.1, 16) => Operation not permitted ここの、192.168.56.1がやけにひっかりまして。 これって、publicじゃなくて、ローカルなんじゃ?ってな^^ それと、445って。。SMBのことですよね? もしかしたら、ポート番号じゃなくて「サービス名」 の方で、処理されてるかもしれませんね。これ。 Windowsでも、ポート単位やアプリ単位ってのがあるのと 同じで、この場合アプリ=サービスかも! なので、SMBなどを抜くことで、閉じられる気がしますが。 その前に、外→中でフィルタしてもいいかもですね。 中→中は、開いてても閉まってても、んま~どうでもいいでしょうから。 (入っている時点ですでに侵入されてるわけなので、それ以上こだわっても~的なニュアンスで) VirtualBOXでサーバー作る場合、親ルーターから 元々ピンポイントでNATして、 80/443(場合により21か、ポートを移動したsshdとか) を外だしするでしょうから、 中だし(なんかエロい会話に聞こえるが^^)側は ま~いいんじゃないかな~(そんないい加減な^^) 添付画像は、WorkStationエディションなので、 WEBサービス系デーモンは入れてないのですが、 ServerEditionでも、この辺は、割とそのままで、20年近く 使ってますよ。本「壁」の方を強化したほうが いいかな~的な。。使い方していたので。 今回のは、的外れの可能性が高いので(すいません) 参考程度ってことで、頼みます。
お礼
回答ありがとうございまsう。 一応sambaに関するパッケージは全て削除したのですが、 それでもポートが開いたままになりますね。 因みにサービスではあったのですが、同じような結果になりますね。 セキュリティ的には問題ないのかもしれませんが気になります。
補足
すみません、大事なこと言い忘れていたのですが、 スキャン自体はvirtualboxのIPアドレスに対してスキャンしました。 最近は、virtualbox事体に脆弱性があるのでどうにか防ぎたいのですが。 とりあえずスキャン結果はこちらです。 PORT STATE SERVICE VERSION 135/tcp open msrpc Microsoft Windows RPC 139/tcp open netbios-ssn Microsoft Windows netbios-ssn 445/tcp open microsoft-ds Microsoft Windows 7 - 10 microsoft-ds (workgroup: WORKGROUP) 5357/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP) |_http-server-header: Microsoft-HTTPAPI/2.0 |_http-title: Service Unavailable Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port Device type: bridge|general purpose Running (JUST GUESSING): Oracle Virtualbox (98%), QEMU (92%) OS CPE: cpe:/o:oracle:virtualbox cpe:/a:qemu:qemu Aggressive OS guesses: Oracle Virtualbox (98%), QEMU user mode network gateway (92%) No exact OS matches for host (test conditions non-ideal). Network Distance: 2 hops Service Info: Host: VAIO; OS: Windows; CPE: cpe:/o:microsoft:windows Host script results: | smb-security-mode: | account_used: guest | authentication_level: user | challenge_response: supported |_ message_signing: disabled (dangerous, but default) | smb2-time: | date: 2022-04-09T04:48:50 |_ start_date: N/A | smb2-security-mode: | 3.1.1: |_ Message signing enabled but not required
- AsarKingChang
- ベストアンサー率46% (3467/7473)
>というエラーが出てしまって、 ちなみ、エラーは出てませんよ。ワーニングだけです。 わざと逆に、add-portで、追加して listを出すと、portsに9999が出現 それを、質問のように、remove-portすると、「ワーニングは出ていない」 その状態で再度listを出すとportsからは9999は消える。 この状態で再度remove-portで、同じワーニングがでる。 つまり、最初から開いていない状態に対して 削除を発行したというのが、確認できると思います。
お礼
回答ありがとうございます。 しかしながらfirewalldは使いずらいのでとりあえずiptablesを使ってポートを塞いだのですが、sendto in send_ip_packet_sd: sendto(4, packet, 44, 0, 192.168.56.1, 16) => Operation not permitted このような文字が出てくるのですが、nmap -A -sC -svでスキャンしたら出てきます。 ちなみに閉じたポートは、135,139,445です。 ご教示よろしくお願い致します。
補足
因みにvirtualboxの脆弱性を防ぐためにテストしています。
- AsarKingChang
- ベストアンサー率46% (3467/7473)
それ、元々が閉じてるから、削除できなかっただけでは? 試しに、全然関係のないポートでやっても同じメッセージになると思われます。 ということで、全く同じ環境を用意して、 無関係なポートに対して同じ命令を発行したログを 添付しておきますが。 開いてないポートは、削除できないよ~ ってことですね。
お礼
回答ありがとうございます。 なるほど、そうでしたか・・。
関連するQ&A
- CentOS7firewall-cmdでESP許可
CentOS7を使ってLinux基礎の勉強中の初心者です。 ァイアフォール設定をfirewallの管理コマンド(firewall-cmd)で行っています。 ※CentOS7からファイアフォール設定が「firewalld.service」になったのでiptablesを直接見たり編集することはありません。 【質問】 あるゾーンにポート番号の概念のないESP(プロトコル番号50)を許可したいのですがやり方がわかりません。 どのようにしてプロトコル番号50を許可すればよいのでしょうか? 例えばあるゾーンに対してhttp許可する場合、2つのやり方がありますよね。 【ポート番号で有効化(許可)】 firewall-cmd [--zone=] --add-port=80/tcp または 【サービス名で有効化(許可)】 firewall-cmd [--zone=] --add-service=http 上記2つの方法に習い、ESP許可をサービス名に指定してみましたが(当然ながら?)プロトコル番号の許可はできませんでした。 firewall-cmd --add-service=esp Error: INVALID_SERVICE: esp ちなみに現在のゾーンはpublicで、このpublicにESP(プロトコル番号50)を許可したいのです。 ********************************************** public (default, active) interfaces: enp2s0 sources: services: dhcpv6-client http ssh ←サービス名で許可 ports: ←ポート番号で許可 masquerade: no forward-ports: icmp-blocks: rich rules:
- 締切済み
- Linux系OS
- Fedora6でポートフォワードできなくなった
Fedora4でできていたポートフォワードの設定がFedora6で できなくなってしまいました。 以下のような環境です。 PC1 Eth0:グローバルIP Eth1:192.168.10.254 PC2 Eth0:192.168.10.253 PC2でApacheを起動して、PC1の80番ポートをPC2にフォワード したいのです。 そこで以下のようなIptablesを設定しました。 iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.10.253 しかし、PC1のグローバルIPアドレスにブラウザからアクセスしても 一向に表示されません。 PC2でtcpdumpを使って80番ポートを監視しながら確認したのですが、 パケットは観測されませんでした。 [pc2]$ sudo tcpdump port 80 fc4のときはこのようなトラブルに遭遇しなかったのですが、 なにかやり方が変わったのでしょうか? お助けください。
- ベストアンサー
- Linux系OS
- ポートの開放の方法 corega BAR SW-4P Pro XPSP2 YBB
ポート開放の仕方を教えてください。 環境 OS:WindowsXPSP2 ルータ:corega BAR SW-4P Pro モデム:YBB付属のやつ(Trio3-G?) ルータの設定は、バーチャル・サーバーで設定 ローカルIPは固定してます。 ローカルIP:192.168.1.**(cmdのipconfigで表示されるIP) プロトコル:ユーザー定義 開始Port番号:****(開放したいPort番号) 終了Port番号:****(開始Port番号と同じ) サービス・タイプ:TCP ファイアウォールはWindowsXPSP2のものだけです。 http://www.geocities.jp/seidy_seidy/bb/port.html ↑で確認してみたら timeout : timeout on ip 220.28.247.3 (6 sec) this means, that we even did not receive a RESET signal; maybe due to a 'stealth' firewall というメッセージが表示されます。 ファイアウォールが邪魔をしているんでしょうか? わかるかたがいましたら教えてください。
- ベストアンサー
- その他(インターネット接続・通信)
- fedora core1にapache
apacheをインストール後、ブラウザでテストすると port80 だけ動きません。 cat /opt/apache/logs/error_log | more をチェックすると すでに80は使われているみたいなのですが、 [Fri May 21 19:08:46 2004] [crit] (98)Address already in use: make_sock: could not bind to port 80 どうしたらいいでしょうか? 改善策をアドバイスお願いします。
- 締切済み
- Linux系OS
- ポート開放できません
ルータ:BRL-04CW XLink KaiでNetwork Reachableが「Not yet」になっていたのでUDP30000ポートをhttp://www.akakagemaru.info/port/puranekkusu-brl-04cw.htmlを参考に開いてみました。しかし「Not yet」から「Yes」になりません。 そこでhttp://www.cman.jp/network/support/port.htmlのサイトで30000ポートを確認したらやっぱり開いていませんでした。 ファイアウォールも無効にしました。ポート開放するのに何か設定などしなければいけないのでしょうか? どうか教えてください。よろしくお願いします。
- ベストアンサー
- その他(インターネット接続・通信)
- CentOS8にxrdpを入れ、リモートデスクトッ
CentOS8にxrdpをインストールしてWindowsからリモートデスクトップをしようとしています。 rootでのログインは成功しましたが、一般ユーザーでのログインができません。 yum --enablerepo=epel install -y xrdp tigervnc-server systemctl start xrdp.service systemctl enable xrdp.service firewall-cmd --permanent --zone=public --add-port=3389/tcp firewall-cmd --reload CentOS8側の設定を行った後に、 Windowsからリモートデスクトップ接続しました。 rootでログインするのには成功しました。 一般ユーザでるグインしようとすると、 Login to serverの画面で同じように Session Xvnc username ユーザー password パスワード として、 『OK』を押すと、 画面が真っ黒になった後、 リモートデスクトップ接続の画面まで戻ってしまいます。 ユーザーとパスワードは正しく、直接はログインできます。 ユーザー、パスワードを間違えた場合は、『conecting log』の画面に行きますので、入力は正しいです。 一般ユーザ側で何か設定が必要なのでしょうか?
- 締切済み
- Linux系OS
- MacOS Snowloopard で vim を uninstall
MacOS Snowloopard で vim を uninstall したいです。 以下のコマンドで vim をアンインストールしたいけど、失敗します。 $ sudo port clean vim Password: Warning: No index(es) found! Have you synced your source indexes? Error: Port vim not found To report a bug, see <http://guide.macports.org/#project.tickets> どうすればアンインストールできますか? vim で ruby の開発をしたいので、一旦削除する必要があるんです...
- ベストアンサー
- その他(プログラミング・開発)
- オンラインゲームのポート開放
Age of Empires のマルチプレイをしたいのですがうまくできません。 下記のサイト(1)では次のポートを空ける必要があるとあります。 TCP,UDP 2300 ~ 2400 TCP 47624 (1) http://obsidian.s53.xrea.com/archives/000589.html サイト(2)にしたがって設定しサイト(3)で確認しましたが失敗と出ます。 パソコン内のファイアウォールの設定も行っていますが、ファイアウォールを停止させたとしてもつながりません。 (2) http://www.akakagemaru.info/port/aterm/02.html (3) http://dog.tele.jp/lookup.php?port=47624 詳しい方、考えられる原因がありましたら教えてください。 プロバイダ:Pikara ルーター:NEC Aterm です。よろしくお願いします。
- ベストアンサー
- オンラインゲーム
- alg.exe のTCP 1025 Listning は切ってもいいのでしょうか?
WindowsXP Pro sp2を使用しています。 netstatなどのコマンドでオープンポートとプロセスIDを調べたところ、alg.exe がTCPの1025を常時開放しています。自分なりに調べてみたところ、 ICSというサービスとXPのFirewallに必要らしいのですがこれは自分でフリーのFirewallをインストールしていれば切ってしまってもよいのでしょうか? というのも、以下のソフト(Netstat)を使用してみたところ、 http://www.ipworx.com/product/netstat/index.shtml Remote Port に39039とでました。このポートなのですがNmapなどのポートスキャナが使用するポートではないのでしょうか?その場合やはりTCP1025 は閉じておいたほうがいいと思うのですが、どうなのでしょうか?
- ベストアンサー
- Windows系OS
- エラー
Error starting TCP server on port 445, check permissions or other servers running. Error starting TCP server on port 3128, check permissions or other servers running. Error starting TCP server on port 80, check permissions or other servers running. このエラーを解決したいのですが、どうしたら直るでしょうか? ご教示お願いします。
- 締切済み
- その他([技術者向] コンピューター)
お礼
回答ありがとうございます。 何やらsambaも有効になっていてそれを無効にしたり windowsでポートをブロックしたり レジストリをいじったり windowsの方の設定で色々試行錯誤して見たら 改善はされました。 おかげで大分セキュリティが変わった気がします。 ありがとうございました。