人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

サービスの停止の仕方をおしえてください。

サーバーOS:OpenBSD3.8(190.xxx.xxx.3)
クライアントOS:winXP(190.xxx.xxx.2)

上記2台をルータでLAN接続しております。
XPの方からサーバへ向けてnmapで、
nmap -sU 190.xxx.xxx.3
すると稼動しているサービスが表示されました。

PORT STATE SERVICE
514/udp open|filtered syslog
4500/udp open|filtered sae-urn

OpenBSDのこの2つのサービスを止めたいのですが、どうすればいいのでしょうか?

syslogの方は、FreeBSDなどでは、
/etc/rc.conf の中で、
syslogd_flags = "-ss"
すればよいと書いてるところがあるんですが、
OpenBSDでこのように設定しても
nmap -sU 190.xxx.xxx.3 すると、
PORT STATE SERVICE
514/udp open|filtered syslog
のままで、サービスが停止されていません。

どのように設定すればいいのでしょうか?

また、sae-urnってなんでしょう?
どうすれば停止できるのでしょうか?

そもそもこの2つはサービス停止する必要があるのでしょうか??

情報お願いします。

●質問者: bsdusr
●カテゴリ:インターネット ウェブ制作
✍キーワード:ETC FreeBSD LAN open OpenBSD
○ 状態 :終了
└ 回答数 : 1/1件

▽最新の回答へ

1 ● たも
●100ポイント ベストアンサー

grep 4500 /etc/services

というコマンドでわかるように、UDP 4500 は IPsec に関連しているポートのようです。

UDP のポートスキャンは TCP のように正確ではありません。

ICMP unreachable が返らない限り open とみなすのではなかったかと思います。

ですから、ちゃんと PF が設定されているのであれば、UDP ポートが open と表示されても気にしなくていいはずで、サービスの停止とは関係ないと思います。

もし nmap からハッキリわかるようなブロック方法をしたいなら、/etc/pf.conf で

block return in inet proto udp from any to any port 514

のような感じで return 指定してやればいいでしょう。

OpenBSD の初期設定状態では syslog も ipsec も動作していません。(手元では設定していないままの状態で syslog が UDP をリスンしていませんし、ipsec も特に動いていません。)

もし IPsec を完全に無効にしたい場合は

sysctl net.inet.asp.enable=0

sysctl net.inet.ah.enable=0

とする (同様の設定を /etc/sysctl.conf に書く) と安心できます。

◎質問者からの返答

知らないことばかりで恥ずかしい限りです。

>OpenBSD の初期設定状態では syslog も ipsec も動作していません。

ということですので、教えていただいたとおりに、PFで、

block return in inet proto udp from any to any port 514

block return in inet proto udp from any to any port 4500

をしてみたところ、しっかりブロックされるようになりました。ありがとうございます。

あと、/etc/sysctl.confに

sysctl net.inet.esp.enable=0

sysctl net.inet.ah.enable=0

の記述がありましたので、コメントアウトされていたので、#を一応はずしてみました。

PFの方もまだまだ、勉強中です。

とにかく助かりました。ありがとうございます。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ