Blokada usuwanie otwartych portów netbios-ssn microsoft-ds

Witam jak w najnowszym Linux Mint usunąć bezpiecznie pakiety aby przyblokować te porty netbios-ssn microsoft-ds które pokazuje nmap? Tak żeby nie zepsuć sobie systemu przez jakieś zależności usuwania samby czy cups-common, cups-deamon.

PORT    STATE SERVICE
139/tcp open  netbios-ssn
445/tcp open  microsoft-ds
631/tcp open  ipp

Ponieważ łączą mi się jakieś adresy ipv6 na świeżo co zainstalowanym systemie na portach 631, 48497. Zablokowane i wyłączone mam ipv6  w przeglądarce i wifi. Wydaje mi się że to jakieś systemowe śmieci od Canonical. Z góry dziękuje.

Najpierw ustal jaka domyślnie siedzi tam zapora sieciowa - prekonfigurowana - jak jest ustawiona?

 

Podaj wynik komendy z terminala:

 

sudo iptables -nvL

dpkg -l | grep ufw

Zapora to ufw, ale raczej blokada w niej nie sprawi aby te porty nie pojawiały się w nmap. Ja chciałbym aby przy skanowaniu w ogóle nie widniały tak jak to jest w Arch linux gdy tych pakietów nie ma. Blokowałem tak kiedyś przez firewall, iptables i nada przy skanowaniu widniały dopóki nie usunąłem pakietu odpowiedzialnego za ten port który widać przy skanowaniu.

dpkg -l | grep ufw
ii  ufw                                         0.34~rc-0ubuntu2                                    all          program for managing a Netfilter firewall

Jeśli nie korzystasz z samby (komunikacja z siecią lokalną Windows) ani cups (drukarka) to po prostu wywal ich demony z init i przestaną nasłuchiwać na tych portach.

Zainstalowałem program rcconf i tam pokazuje że te demony samby i cups są odznaczone.

Po wpisaniu jako root “systemctl” powinno pokazać uruchomione usługi.  Nie występuje tam już ani cups ani samba?

Nie działa mi to polecnie dlatego że nie mam systemd w systemie i nie chce go używać.

sudo systemctl
sudo: systemctl: command not found
 
apt-cache policy systemd
systemd:
  Zainstalowana: (brak)
  Kandydująca:   (brak)
  Tabela wersji:

Podaj wynik polecenia:

 

cat /proc/1/comm

No to nie do końca tak. NMap inaczej “ocenia” komputer gdy jest skanowany z tego samego komputera, a inaczej z sieci.

Tutaj jest tylko przykład:

https://sparewotw.wordpress.com/2011/02/12/blocking-port-113-in-shorewall-pclinuxos-default-firewall/ .

Shorewall to też nakładka na iptables.

Tutaj maszy przykład prostego firewalla:

http://www.debian.pl/entries/162-Prosty-firewall-dla-desktopa-stacji-roboczej .

cat /proc/1/comm
init

Tylko nie wiem czy takie mieszanie w iptables osobno i nakładkach ufw, pf(to chyba unixowa, bsd nakładka na  iptables) jest dobrym pomysłem.

Musze być ostrożny, aby nie po blokować innych składników systemu od tych aktualizacji, mint, cinnamon, canonical.

Wyłącz jak nie chcesz odinstalowywać wszystko poza iptables i zrób zaporę, która zajmie kilka linijek i spokój.

 

Możesz dodać taki skrypt do /etc/rc.local (o ile jeszcze jest) albo utworzyć usługę zgodną z SysVInit.