Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Pivson 23. 04. 2019, 10:55:22
-
Hoj, nejak zacal zlobit firefox na pristup k adresam http://10.x.x.x s nestandardnim portem. Na tu samou adresu:port funguje IE, lynx v konzoly, cokoliv jineho v OS. Tcpdump na nejblizsi GW ukazuje, ze se FF nepokusi poslat zadny paket. Zkusil jsem dopsat prislusny port (81) do network.security.ports.banned.override - ale nic. Jen napise "Firefox nemůže navázat spojení se serverem 10.100.96.65:81." a hotovo.
Jak toho chytraka donutit, aby se proste pripojil tam kam potrebuju a nesnazil se mne chranit pred detskm pornem, terorismem, AIDS a ja nevim proc to vlastne delaji, tyhle "featury".
Uz to nekdo resil ? Typicky demetni DVR a spol. maji naprosto silene porty, asi jako soucast 'zabezpeceni' :)
Diky
P.
-
Jen dodam, ze na portu 80 se tam pripoji (resp. snazi, to je prez dump videt, nic tam nebezi). Evidetne z nejakheo duvodu blokuje 81, blbec....
P.
-
Pust si tcpdump (na vsechny rozhrani) a sleduj zda se tam neco stane, kdyz se budes snazit otevrit danou adresu.
-
Pust si tcpdump (na vsechny rozhrani) a sleduj zda se tam neco stane, kdyz se budes snazit otevrit danou adresu.
Port 80: normalne jede, SYN, ...
Port 81: naproste ticho
Evidentne to dela FF. Jak nesnasim chrome a spol. tak se desim, co z FF postupne delaji :( Resit, ze si prohlizec rekne, ze nejakej port je proste 'nepovolenej' je, uprimne receno, naprosta debilita. Kdyby alespon pri instalaci meli zaskertavatko 'nesnazit se byt chyrejsi nez uzivatel' - ale to ne.
Diky
P.
-
Tak mi to nedalo a dal jsem hledal. Zda se, ze k privilegovanym portum <1023 jakozto zakazany nedoslo jen v Mozzile, ale i autori pravidel pro firewall. Nekde jsem uvidel shot, kdy FF znemozni pristup na tyhle porty a je tam jina chybova hlaska. To mne teda dovedlo k firewalu, co tu je (Comodo) a v nem je FF nastavenej jako 'web browser' a svete div se, taktez ma zakazane port <1024 krome seznamu (80,443).
Toz nakonec problem mezi zidli a klavesnici, ikdyz takhle hloupe schovanej :)
Diky
P.
-
Ale ona privilegovanost nesouvisi s tim kam se muze sw pripojovat, ale ze normalne jako ne-root nemuzes otevrit server na uvedenych portech. Ale jsem rad ze jsi se dopatral k mistu selhani :)
-
Jo, konvence 1-1024 je jasna (hlavne driv to davalo logiku). Jen nechapu, proc se nemuze otevrit spojeni na *tento* port. Resp. proc se to povazuje za 'nebezpecne' ze to FF i firewall v pravidlech zakaze :) Jakoze kdyz jsem root a otevru nizkej port jako server, jsem automaticky vetsi haker ? Proto i ten firewall drzel hubu a nic nebonzoval. Ja tam videl 'web browser' a rikal jsem si, dobry, otevrit muze co chce. Az po doklikani se do pravidel bylo videt, ze tam ma vylozene zakazane pri <1024 krom konrketnich cisel. No, zkusenost k nezaplaceni a hodina zivota v (.) :o)
Diky za nasmerovani.
P.
-
To pravidlo na odchozi strane dava smysl jako ochrana vuci DDoS, kdybys chytnul nejake breberky.
Chrani to slusny internet pred utoky skodliveho kodu co bezi u tebe.
-
To je ale ochrana ala ping flood jen jako root :) Dik za osvetleni
P.
-
To pravidlo na odchozi strane dava smysl jako ochrana vuci DDoS, kdybys chytnul nejake breberky.
Chrani to slusny internet pred utoky skodliveho kodu co bezi u tebe.
ses si jisty, ze breberky se pripojuji pres firefox?
-
To pravidlo na odchozi strane dava smysl jako ochrana vuci DDoS, kdybys chytnul nejake breberky.
Chrani to slusny internet pred utoky skodliveho kodu co bezi u tebe.
ses si jisty, ze breberky se pripojuji pres firefox?
Blokace je na firewallu ale plati pro vsechny, nezavisle na aplikaci. Pro target port 80 a 443 ma pak Firefox vyjimku, alespon tak jsem pochopil situaci u tazatele.