ho chiuso le porte ma zenmap continua a trovarle aperte

[shouldes]

e sai suggerirmi che ip dovrei mettere per testare le connessioni in uscita dal mio xubuntu?

La cosa migliore sarebbe lanciare uno scanner da una macchina diversa e ancora meglio fuori dalla tua rete locale, con la macchina da scannerizzare messa in DMZ, visto che se non sei molto esperto e se scansioni dalla rete locale potresti ottenere risultati ben diversi con UFW (senza andare a mettere le mani in modo più avanzato sui file).

Ma se proprio devi scannerizzare dalla stessa macchina usa l'IP dell'interfaccia ethernet (o Wifi se ti colleghi tramite quella).
Esempi a casaccio:

Codice: Seleziona tutto

sudo nmap -r -PA -PE -PS -PU -A --osscan-guess --badsum 192.168.1.5

Starting Nmap 6.40 ( http://nmap.org ) at 2016-04-17 14:43 CEST
Nmap scan report for 192.168.1.5
Host is up (0.000047s latency).
All 1000 scanned ports on 192.168.1.5 are filtered
Too many fingerprints match this host to give specific OS details
Network Distance: 0 hops

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 217.15 seconds

Codice: Seleziona tutto

sudo nmap -Pn -sS -sU -T4 -A -v 192.168.1.5

Starting Nmap 6.40 ( http://nmap.org ) at 2016-04-17 14:54 CEST
NSE: Loaded 110 scripts for scanning.
NSE: Script Pre-scanning.
Initiating Parallel DNS resolution of 1 host. at 14:54
Completed Parallel DNS resolution of 1 host. at 14:54, 13.00s elapsed
Initiating SYN Stealth Scan at 14:54
Scanning 192.168.1.5 [1000 ports]
Completed SYN Stealth Scan at 14:54, 1.58s elapsed (1000 total ports)
Initiating UDP Scan at 14:54
Scanning 192.168.1.5 [1000 ports]
Completed UDP Scan at 14:54, 1.39s elapsed (1000 total ports)
Initiating Service scan at 14:54
Initiating OS detection (try #1) against 192.168.1.5
adjust_timeouts2: packet supposedly had rtt of -100173 microseconds.  Ignoring time.
adjust_timeouts2: packet supposedly had rtt of -100173 microseconds.  Ignoring time.
Retrying OS detection (try #2) against 192.168.1.5
adjust_timeouts2: packet supposedly had rtt of -100308 microseconds.  Ignoring time.
adjust_timeouts2: packet supposedly had rtt of -100308 microseconds.  Ignoring time.
NSE: Script scanning 192.168.1.5.
Initiating NSE at 14:54
Completed NSE at 14:54, 0.00s elapsed
Nmap scan report for 192.168.1.5
Host is up (0.000031s latency).
All 2000 scanned ports on 192.168.1.5 are closed
Too many fingerprints match this host to give specific OS details
Network Distance: 0 hops

NSE: Script Post-scanning.
Read data files from: /usr/bin/../share/nmap
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 18.93 seconds
           Raw packets sent: 2176 (82.651KB) | Rcvd: 4331 (187.192KB)

Come puoi vedere dalla prima alla seconda scansione si passa da filtered a closed per indicare lo stato delle porte, ma fatta dallo stesso PC è completamente falsata.
Come potrebbe essere falsata dalla rete locale, su un sistema moderno casalingo fatto per interagire con TV, telefoni e altre risorse sulla rete locale (di fatto UFW ha regole preimpostate non immediatamente modificabili).

Di fatto hai qualche servizio in più rispetto a quelli che gradiresti, questo è il mio sistema:

Codice: Seleziona tutto

sudo netstat -tunlp
Connessioni Internet attive (solo server)
Proto CodaRic CodaInv Indirizzo locale        Indirizzo remoto       Stato       PID/Program name
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      2134/cupsd

Questo è il sistema in modalità server DLNA:

Codice: Seleziona tutto

sudo netstat -tunlp
Connessioni Internet attive (solo server)
Proto CodaRic CodaInv Indirizzo locale        Indirizzo remoto       Stato       PID/Program name
tcp        0      0 0.0.0.0:8080            0.0.0.0:*               LISTEN      1908/minidlnad  
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      2134/cupsd      
udp        0      0 192.168.1.5:61217      0.0.0.0:*                           1908/minidlnad  
udp        0      0 0.0.0.0:1900            0.0.0.0:*                           1908/minidlnad 

Lanciando ora nmap dalla stessa macchina o dalle macchine con regole impostate:
-A ufw-dlna-locale -m mac --mac-source a1:b2:c3:d4:e5:f6 -d 192.168.1.5 -p tcp --dport 8080 -j RETURN
+ la regola veloce che si attiva al cambio profilo: 192.168.1.5 8080/tcp on eth1 ALLOW IN 192.168.1.X
+ una generale per --src-type LOCAL -p udp --dport 1900 con destinazione 239.255.255.250 (ACCEPT)


nmap riesce quasi a rilevare l'OS (-Pn -sS -sU -T4 -A -v):
i686-pc-linux-gnu e rileva correttamente la versione MiniDLNA.

nmap becca le due porte aperte soltanto con il SYN Stealth Scan e soltanto dai PC locali con regola preimpostata e dallo stesso PC.
Dai sistemi non coinvolti/autorizzati ad entrare nel server DLNA non cambia assolutamente nulla, come non cambia se i PC autorizzati usano un IP diverso o un'interfaccia di rete diversa (mac diverso).

Una scansione in DMZ 1900 udp:

Codice: Seleziona tutto

Stealth 	ssdp UPnP Simple Service Discovery Protocol

Una scansione in DMZ 8080 tcp:

Codice: Seleziona tutto

Stealth 	http-alt HTTP Alternate (see port 80 and port 81)

Un test più completo (le prime 1056 porte) in DMZ, ad esempio usando un servizio online:
Tutte le porte risultano INVISIBILI nonostante il profilo "DLNA" di UFW impostato al posto di quello "PARANOIA" o "Dallo senza Prenderlo [deny (in entrata), allow (in uscita), disabled (instradato)]".

Your system has achieved a perfect "TruStealth" rating. Not a single packet — solicited or otherwise — was received from your system as a result of our security probing tests. Your system ignored and refused to reply to repeated Pings (ICMP Echo Requests). From the standpoint of the passing probes of any hacker, this machine does not exist on the Internet. Some questionable personal security systems expose their users by attempting to "counter-probe the prober", thus revealing themselves. But your system wisely remained silent in every way. Very nice.

Naturalmente dalla porta 0 alla 1055 sono risultate invidibili, come la 8080 e la 1900 che invece scansionando dalla stessa macchina (interfaccia di rete) erano visibili e aperte.


127.0.0.1:631 ti avevo già detto che era un servizio interno al PC, e ti serve per stampare sulle stampanti collegate al PC.

Per far sparire quella dnsmasq in ascolto basterebbe impostare IP statico nel PC per la connessione in uso e su qualche configurazione ritoccare le impostazioni del network-manager e /etc/hosts, la modalità di installazione modifica tantissimo certe cose, a parità di hardware e distro.
ma è in ascolto sul localhost, quindi non vedo che fastidio possa dare.


Postfix con Thunderbird non ha proprio nulla da spartire, quindi puoi rimuoverlo in tutta sicurezza:

Codice: Seleziona tutto

sudo apt-get purge postfix

È molto probabile che sia un raccomandato di Rkhunter piuttosto, quindi puoi rimuoverlo.
Ubuntu installa anche roba raccomandata e potenzialmente sgradita a meno di modifiche al sistema:

Codice: Seleziona tutto

cat /etc/apt/apt.conf
APT::Install-Recommends "false";APT::Get::AllowUnauthenticated "false";

gufw è la cosa più inutile che si possa mai mettere su un sistema, credendo di avere un firewall, ma si ha semplicemente a che fare con un interfaccia castrata con GUI di un'interfaccia CLI che di suo è già incompleta per un firewall.
Già vista la scarsa documentazione, se non si indaga per capire dove sbattere la testa è meglio evitare anche UFW e usare direttamente IPtables, ma usare GUFW è una presa per in culo, non puoi neanche impostare i moduli Connection Tracking/NAT, interagire con /etc/ufw/sysctl.conf o cambiare l'IPT_SYSCTL e interagire con /etc/sysctl.conf, dare una pulita a before/after.rules che fanno diventare l'uscita di iptables -L un vero bordello e IMHO i problemi di sicurezza li introducono invece di allontanarli (trovo più sicuro un sistema senza firewall che gestito solamente con GUFW).
Senza GUFW il sistema se non sbaglio non dovrebbe neanche rispondere agli ICMP, perché è l'attivazione di UFW che imposta regole per rispondere, echo-request -j ACCEPT, tcp_sack=1, accept_source_route=1 e altra roba che default (magari ora è diverso? speriamo di si) è più sicura che con l'installare GUFW e attivare UFW.
Molte righe che diventano funzionanti con l'attivazione di UFW andrebbero eliminate, commentate o al limite modificate con l'opposto valore.


Già il volere scovare i rootkit ti ha installato nel sistema postfix, quindi si spiega da dove arriva il servizio smtp, mentre l'ipp (internet printing protocol) come detto prima è un servizio interno finché non imposti di condividere stampanti:

Codice: Seleziona tutto

631/tcp open  ipp     CUPS 1.7

e dovrebbe essere rilevato solo se fai una scansione interna con nmap (da un PC sul proprio localhost):

Codice: Seleziona tutto

sudo netstat --inet -a
Connessioni Internet attive (server e stabiliti)
Proto CodaRic CodaInv Indirizzo locale        Indirizzo remoto       Stato      
tcp        0      0 localhost:ipp           *:*                     LISTEN

[thece]

mi sa che la hai spaventato Dirk41, sicuramente confuso

shouldes

[shouldes]

mi sa che la hai spaventato Dirk41, sicuramente confuso

shouldes

bah, sono un semplice utente "provato" che segue "le vostre guide", qualsiasi cosa significhi.
Scherzi a parte, con certi router se non si comincia a saper distinguere ci si perde.
Ad esempio i nuovissimi che fornisce la telecom ai contratti business hanno dell'incredibile, se ci togli la 53 e qualche manciata di porte che IMHO sono filtrate sulle specifiche centrali, sembra che il firewall (che risulta attivo) sia disattivato, oltre al problema che a questi gioiellini piace chiacchierare e rispondere.
Magari l'utente di turno entra in paranoia per un servizio che gira dentro al PC e poi si ritrova dietro una ADBoiata, una Pirellata o una Tecnicolorata simile.
Nell'altra discussione c'è un tizio che è riuscito ad ottenere 2 IP, uno con telefono e portatile e l'altro con il server, collegato semplicemente ad un router telecom, con il secondo IP non ha dovuto neanche aprire porte per utilizzare il server dall'esterno (e io raccontavo di un tizio che ha messo il record di 3 IP pubblici con un solo contratto telecom...).

Comprassero dei router decenti, con aggiornamenti di sicurezza garantiti un paio d'anni, così da lasciare in pace i firewall degli OS (non saprei quanto potrebbe essere efficace con Windows+UPnP attivo, ma meglio di infognarsi con roba che sconoscono).
Poi il massimo è quando digiti l'IP pubblico e ti si apre la finestrella login del router (router da scaffale di varie marche), non solo questo, hanno pure la password di fabbrica.
L'importante è che abbiano seguito la guida del bloggher di turno che promette di rendergli il sistema impenetrabile con 2 click, tutto il resto è noia.

[thece]

bah, sono un semplice utente "provato" che segue "le vostre guide" ...

... è sempre un piacere leggerti

[Rogers41]

scusate ragazzi,non essendo la sottoscrizione automatica,non ho ricevuto gli aggiornamenti.

per il resto Shouldes prendi poco per il c***. aspetto che sbagli tu a premere un tasto. si fa sempre i fenomeni nel campo in cui si eccelle vero? non aggiungo altro ,sennò ci manca solo che un mod redarguisce me.