Linux: firewall, antivirus e router.. E' sufficiente?

C'è un modo, un comando, una sorta di monitor, per sapere le porte che in questo momento sono usate dai software che sto usando?..

Codice:

sockstat  | grep prog

Codice:

sockstat  | grep prog

Volevo provare questo comando ma non l'ho trovato installato nella RedHat ES3 (ho provato anche come utente root) con la quale ora sto lavorando, peccato ero curioso (lo proverò su qualche altra distro).
Di solito io utilizzo per la macchina locale

$ netstat -atu

dove
-a: stampa tutti i socket, inclusi i server socket in ascolto (listen)
-t: per avere le porte tcp
-u: per avere le porte udp
-n : mostra l’indirizzo numerico invece di provare a determinare l’host sim-
bolico, la porta o il nome utente (è più veloce)

utilizzo invece nmap per le macchine remote ed eventualmente anche la locale (che poi dovrebbe essere il comando di cui attorizzando ha utilizzato il frontend grafico dalla Gnome)

PS.: quando avrò un po di tempo mi sono riproposto di esplorare anche il mondo FreeBSD, mi sono incuriosito.

Ho modificato xke' nn mi sembrava il caso,perche' stavo esagerando,ma ti sbagli,io debian la conosco fin troppo bene,e non ti dico altro ...

Ti ricordo che faccio il sistemista per lavoro e non gico con linux,e di sistemi linux ne ho visti ed usati di tutti,in qualsuasi condizione ...

Comunque visto che nn so con chi sto parlando( Da questo deduco che tu sia un esperto sistemista,ma i sistemisti non usano debian,semplicemente perche' confermano cio' che dico io ) ti faccio notare la sicurezza del tu os .. Faresti meglio a valutare le tue capacita',perche' mi sembra che ti vanti molto,e ti consiglio d'imparare a fare le ricerche ..

http://secunia.com/product/5307/?task=statistics_2006

Ma adesso basta con l' OT,si parlava di firewall se nn sbaglio ..

improvvisamente hai cambiato tono, e chissà perché... a me non interessa un pelo di ciò che conosci o hai usato, chi si vanta qui e in altri 3d sei tu, insultando la gente gratuitamente... non conosci la differenza fra chmod e chown (nell'altro 3d)... sopravvalutati di meno e impara l'educazione... la politica di rilascio dei pacchetti dei rami debian non l'ho scritta io, e quando l'ho letta, mi pare che i tuoi spropositi non c'entrano assolutamente una mazza (neanche con il ramo Experimental). Se l'hanno cambiata un po' di tempo fa non lo so. Chi sono io e cosa faccio a te non riguarda: se tu ti senti libero di poter insultare tutti i tuoi interlocutori fallo, finché te lo fanno fare... chi sà, valuterà chi parla di informatica o di fantascienza informatica...

improvvisamente hai cambiato tono, e chissà perché... a me non interessa un pelo di ciò che conosci o hai usato, chi si vanta qui e in altri 3d sei tu, insultando la gente gratuitamente... non conosci la differenza fra chmod e chown (nell'altro 3d)... sopravvalutati di meno e impara l'educazione... la politica di rilascio dei pacchetti dei rami debian non l'ho scritta io, e quando l'ho letta, mi pare che i tuoi spropositi non c'entrano assolutamente una mazza (neanche con il ramo Experimental). Se l'hanno cambiata un po' di tempo fa non lo so. Chi sono io e cosa faccio a te non riguarda: se tu ti senti libero di poter insultare tutti i tuoi interlocutori fallo, finché te lo fanno fare... chi sà, valuterà chi parla di informatica o di fantascienza informatica...

Nell'altro trehad si chiedeva come poter assegnare i permessi di rw da utente ad una cartella root,e non ricordo la tua risposta sinceramente,e non vado nemmeno a rileggerla' perche' nn mi interessa affato,ma

Codice:

chown -R tuo_utente /path/to/dir

assegna i permessi drwxr-xr-x all'utente,che e' cio' che serviva ...

Gente come te e' meglio ignorarla,poi un giorno quando avrai tempo mi spiegherai cosa fa' un mkdir ..

bye bello

Hhahahahahahah ..... Gente come te e' meglio ignorarla,poi un giorno quando avrai tempo mi spiegherai cosa fa' un mkdir ..

bye bello

6969 E: C@56 := 4F=@ D244@ 5: >6C52

6969 E: C@56 := 4F=@ D244@ 5: >6C52

Rileggi che' ho modificato ..

Rileggi che' ho modificato ..

AF@: 5:C6 BF6==@ 496 GF@:i 636E6 6 AC6DF?EF@D@ 6C:[ E2=6 C:>2?:

AF@: 5:C6 BF6==@ 496 GF@:i 636E6 6 AC6DF?EF@D@ 6C:[ E2=6 C:>2?:

Ma scrivere in italiano ??? I bambini alle scuole elementari usano il crittografico,quanto me fai pena ... Adios bello ...

rosica rosica signor castoro, rosica rosica
dalle mie parti si dice: «fa' come ti è stato fatto che non è peccato»
rosica rosica, robot di frasi casuali

rosica rosica signor castoro, rosica rosica
dalle mie parti si dice: «fa' come ti è stato fatto che non è peccato»
rosica rosica, robot di frasi casuali

Io rosico ?? Hhahahah,di cosa? Di aver conosciuto un idiota incompetente che conoce il crittografico??? Non mi sembra un motivo valido per rosicare,anzi mi diverto,perche' mi tieni allegro esponendo la tua infinita' stupidita'

Non sei ingrado di tenere su' un discorso valido,in quanto a sistema o sicurezza ecc,sei buono solo a sparare falle piu' grosse di te stesso,hai detto che nn sono capace ha distinguere un chown da un chmod,mentre tu GLI AVEVI DATO I PERMESSI D'ESECUZIONE 777,MA ERA UNA CARTELLA NN UN BINARIO...

@fgr
su un computer desktop si può giocare un po' con i permessi senza troppe preoccupazioni (con le dovute eccezioni per cartelle particolari e file binari). Ad esempio anch'io, quando aggiorno il file di citazioni di fortune, devo scrivere in quella cartella: così ho aggiustato con «chmod 777 /usr/share/games/fortunes». Una paranoia inutile ogni volta fare la copia da shell con sudo.

continua a rosicare e fare il robot-random... non esiste cartella o file ciuccione, ogni cosa è un file... ma che te lo lo dico affare... semmai alle cartelle bisogna stare attenti a non togliere il permesso di esecuzione, altrimenti non sarà accessibile... come vedi l'ebetismo regna... E non approfondiamo altro che è meglio va'
dicevi che non rispondevi... ricca figura di ***** si chiama, castor-rosicone

[madbad]

Ragazzi stiamo calmi, scaldarsi non serve a niente... ve lo dico per esperienza.

Attorianzo, alla fine hai risolto allora?

continua a rosicare e fare il robot-random... non esiste cartella o file ciuccione, ogni cosa è un file... ma che te lo lo dico affare... semmai alle cartelle bisogna stare attenti a non togliere il permesso di esecuzione, altrimenti non sarà accessibile... come vedi l'ebetismo regna... E non approfondiamo altro che è meglio va'
dicevi che non rispondevi... ricca figura di ***** si chiama, castor-rosicone

Mio dio,quanto sei ignorante,il problema e' che ti ostini a parlare pur sapendo che sei un bambino ignorante che usa linux da 2 settimane,ma quando lo fai un po' di studio e ????' Grandissimo idiota ....

Per le vacanze di natale studia :

Codice:

man chmod

Codice:

man chown

PS . Vedi che t'interrogo e'

e piantatela su...

@Onip, @madbad: avete ragione, scusate.
Un conto è ragionare, un'altro insultare con la testa piena di sterco

EDIT: riguardo le porte aperte c'è anche un tool online, vedere https://www.grc.com/x/ne.dll?bh0bkyd2

Attorianzo, alla fine hai risolto allora?

Purtroppo sono entrato in pieno periodo di esami universitari.. Momentaneamente non ho piu tempo per fare delle prove ma le farò perchè è un argomento che mi interessa molto quindi state pur certi che riporterò su il thread quando avrò qualche novità..

Nel frattempo non arrabbiatevi ma.. Potreste spiegarmi come si fa a "smorfiare" quei numeri strani che avete scritto?..

Volevo rispondere ad attorianzo ma ho trovato troppi messaggi con le vostre litigate. Ecco cosa succede a generare un flame su un forum. Per favore smettetela.

Volevo provare questo comando ma non l'ho trovato installato nella RedHat ES3 (ho provato anche come utente root) con la quale ora sto lavorando, peccato ero curioso (lo proverò su qualche altra distro).

Prova a vedere se non sta sotto /sbin. Io so che Fedora protegge tutto ciò che sta sotto /sbin quindi per accedervi devi digitare il path completo /sbin/comando. Red Hat non lo so.

Volevo rispondere ad attorianzo ma ho trovato troppi messaggi con le vostre litigate. Ecco cosa succede a generare un flame su un forum. Per favore smettetela.


Prova a vedere se non sta sotto /sbin. Io so che Fedora protegge tutto ciò che sta sotto /sbin quindi per accedervi devi digitare il path completo /sbin/comando. Red Hat non lo so.

Ieri ad esempio in una rete mi e' capitata una slackware 11,ho provato sockstat o /sbin/sockstat da bash e nada,pensavo anche su linux e bash ci fosse questo comando,invece no,su gentoo e csh ricordo che lo usavo,magari lo avevano importato da freebsd,essendo un loro progetto ..

http://www.manpages.info/freebsd/sockstat.1.html

In pratica ti fa' vedere le porte in ascolto dai vari socket,prog,e non solo ...

Esempio :

Codice:

%sockstat | grep named
bind     named      836   3  dgram  -> /var/run/logpriv
bind     named      836   20 udp4   *:56952               *:*
bind     named      836   21 udp6   *:56953               *:*
bind     named      836   22 tcp6   ::1:953               *:*
root     syslogd    757   7  dgram  /var/named/var/run/log

Prova a vedere se non sta sotto /sbin. Io so che Fedora protegge tutto ciò che sta sotto /sbin quindi per accedervi devi digitare il path completo /sbin/comando. Red Hat non lo so.

no neanche in /sbin è presente, avevo provato anche come utente root che è l'unico ad avere i path /sbin ed /usr/sbin in $PATH (in pratica se sei root, a differenza di un utente normale, puoi eseguire anche i comandi che si trovano in /sbin ed /usr/sbin senza specificarne il path assoluto)

Ieri ad esempio in una rete mi e' capitata una slackware 11,ho provato sockstat o /sbin/sockstat da bash e nada,pensavo anche su linux e bash ci fosse questo comando,invece no,su gentoo e csh ricordo che lo usavo,magari lo avevano importato da freebsd,essendo un loro progetto ..

http://www.manpages.info/freebsd/sockstat.1.html

In pratica ti fa' vedere le porte in ascolto dai vari socket,prog,e non solo ...

Esempio :

Codice:

%sockstat | grep named
bind     named      836   3  dgram  -> /var/run/logpriv
bind     named      836   20 udp4   *:56952               *:*
bind     named      836   21 udp6   *:56953               *:*
bind     named      836   22 tcp6   ::1:953               *:*
root     syslogd    757   7  dgram  /var/named/var/run/log

probabilmente in effetti per i sistemi GNU/Linux questo comando non è disponibile però, ora che mi hai gentilmente mostrato l'output di tale comando, il quale visualizza non solo le porte aperte ma anche i relativi processi (il che è molto utile) mi viene in mente un altro comando invece disponibile per Linux da utilizzare in luogo di

Codice:

$ netstat -atu

che pur visualizzando le porte, il relativo stato e gli host coinvolti non le associa ai processi che le utilizzano;
si tratta di
# lsof
o anche
# fuser
(ho utilizzato il # per indicare l'utilizzo come root, in caso contrario si deve specificare il path assoluto /usr/sbin per il primo e /sbin per il secondo ma, comunque si otterrebbero info relative solo ai processi eseguiti dal nostro user e non da tutti, come ci consentirebbe invece root)
tali comandi non sono specifici per le statistiche di rete ma sono generici e relativi ai file (e quindi anche alle socket) in uso dai processi.
Un piccolo esempio:

Codice:

# fuser -vn tcp domain

                   USER         PID ACCESS COMMAND
domain/tcp           root      10197 f....   named

[pietrovischia]

Topic originario: un firewall software è piu' che sufficiente. Un sistema linux, come diceva qualcuno piu' in su, è composto da software il cui funzionamento è noto: quindi a meno di non fare grosse idiozie ci si puo' fidare di quello che ESCE. La parte su cui stare attenti è quindi la gestione del traffico entrante. Per il resto, vai abbastanza tranquillo, in uso desktop. Chiaramente, per un server il discorso è piu' complesso, in quanto certi servizi è assolutamente necessario tenerli aperti, e quindi bisogna prestare attenzione a vulnerabilita' del software e simili.
Vale empre il discorso: quando una richiesta arriva ad una porta, se non c'è nulla ad ascoltare la richiesta fa in genere la fine della foglia che cade nel bosco: calpestata da un babbuino

Comunque visto che nn so con chi sto parlando( Da questo deduco che tu sia un esperto sistemista,ma i sistemisti non usano debian,semplicemente perche' confermano cio' che dico io ) ti faccio notare la sicurezza del tu os .. Faresti meglio a valutare le tue capacita',perche' mi sembra che ti vanti molto,e ti consiglio d'imparare a fare le ricerche ..

Mamma mia che assolutismo... Conosco tre o quattro sistemisti di prima forza che usano debian e ne sono felici...
In genere in queste cose l'importante è essere coscienti delle vulnerabilità e porvi rimedio a.s.a.p.: qualunque sistema lasciato a se stesso diventa vulnerabile, un po' come un albero perde le foglie. La quotidiana marcia verso entropia maggiore :P

Per quanto riguarda l'imparare a fare ricerche che consigli a fgr, magari una occhiata al seguente...

Please note.
The Secunia Software Inspector does not cover or include information about vulnerabilities not addressed by either a new version or a security patch. For information about unpatched issues in your software, we suggest that you look at our Product Vulnerability Report Pages.

Quindi quelle listate sono solo le vulnerabilità già note. Quel sito non effettua un vero scan per le vulnerabilità, né riporta nelle statistiche da te citate un risultato di scan. Quello che fa è confrontare le versioni software del tuo pc con una lista di vulnerabilità note (il software) e mostrare la lista delle vulnerabilità (il sito)
Questo scientificamente non dice nulla sulla sicurezza effettiva del prodotto. Il fatto che il prodotto A abbia 1000 vulnerabilità patchate mentre il prodotto B ne abbia solo 50, NON assicura che il prodotto A sia poco sicuro. Semplicemente assicura che il security-team del prodotto A è molto attivo
Quello che farebbe la differenza è il numero di vulnerabilità totale, comprese quelle non scoperte. Poiché questo numero non si può stimare a caso, il metodo che viene in quel sito usato è non troppo rilevante: insomma mi sembrano un po' dei parolai :)

Ora mi leggo il resto del vostro dibattito, che mi sto divertendo veramente (non mi ero accorto della pagina seguente :P)

EDIT: Oh ma qualcuno mi dice che sta succedendo? Sono stato troppo lontano dal forum eh? Qualche mese fa la discussione sarebbe stata chiusa dopo il terzo messaggio tra loro...

Ora mi leggo il resto del vostro dibattito, che mi sto divertendo veramente (non mi ero accorto della pagina seguente :P)

se mi va mi riprometto di postare qualche stralcio sul ng «it.comp.os.linux.sys» che è frequentato da sistemisti con le p*, tanto per vedere cosa ne pensano...

EDIT: Oh ma qualcuno mi dice che sta succedendo? Sono stato troppo lontano dal forum eh? Qualche mese fa la discussione sarebbe stata chiusa dopo il terzo messaggio tra loro...

infatti me lo sono chiesto anch'io: ho visto gente bannata al primo post con un po' di torpiluquio, figuriamoci al terzo.

p.s. il bello di internet è che può essere citata anche a sproposito, oppure fare il copia e incolla di quello che non si sa o che si fa finta di aver letto. Non tutti leggono gli "about" dei siti.

[Ospite]

Se invece vuoi avere un server FTP sulla tua LAN, ma vuoi che sia utilizzato solamente dagli utenti della tua rete, e non da internet, allora ti serve un firewall. Normalmente questo firewall è installato sul gateway tra la tua rete e internet. Il firewall quindi ascolta tutte le connessioni in ingresso e lascia passare solo quelle dirette verso che le porte che tu hai deciso di lasciare aperte verso l'esterno.

veramente basta mettere in ascolto il server FTP solo verso la LAN

@Pietrovischia ,non è in me alzare polemiche, ma è sensaltro abissalmente differente la mia concezione di sicurezza con quella dei tuoi amici sistemisti debian della vecchia data come dici tu....

Comunque, ad ognuno il suo lavoro e le sue concezioni..

Bye

Dunque dunque... Ho fatto qualche prova:

sockstat | grep prog

Niente da fare... Mi dice che il comando non esiste, come diceva Criluzone, forse qui su ubuntu manca..

$ netstat -atu

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 localhost:2208 *:* LISTEN
tcp 0 0 localhost:32802 *:* LISTEN
tcp 0 0 localhost:mysql *:* LISTEN
tcp 0 0 *:ftp *:* LISTEN
tcp 0 0 localhost:ipp *:* LISTEN
tcp 0 0 192.168.1.3:44206 fk-in-f99.google.co:www ESTABLISHED
tcp 0 0 192.168.1.3:44904 fk-in-f147.google.c:www ESTABLISHED
tcp 0 0 192.168.1.3:37763 webs161.aruba.it:www ESTABLISHED
tcp6 0 0 *:www *:* LISTEN
udp 0 0 *:bootpc *:*

Ecco l'output di netstat -atu.
Purtroppo non compare il numero della porta da chiudere.. In che modo può essermi utile questo comando?

Forse il comando che fa per me è quel "nmap" nominato da criluzone stesso..
Se lo faccio mi da che il file non esiste. nmap ho visto essere presente (ma non ancora installato) tra i pacchetti presenti in synaptic.. Ma preferirei evitare di installare un altro pacchetto, specie se l'informazione che mi restituisce non è maggiore degli "strumenti di rete" che ho nel menu di GNOME..




Ritorniamo un attimino indietro sullo scopo del thread:

vorrei rendere piu sicuro il mio sistema. Il mio problema è che chi ha windows (come me fino a tre settimane fa), sa bene che per la sua sicurezza (piu o meno dai..) è sufficiente un buon antivirus ed un buon firewall.. Qui su linux io non ho ne l'uno nè l'altro..

Quello che ho capito, leggendovi un pò tutti nel forum è che qui su linux per essere a cavallo devo premurarmi di fare in modo che le applicazioni che non uso non stiano in ascolto sulle porte che ho lasciato aperte tramite le regole NAT del router. Attualmente ho impostate 6 regole NAT per le seguenti porte:

- 6073 (era gia impostata tra le regole del router, non l'ho toccata)
- 4662 (per amule)
- 4672 (per amule)
- 80 (per apache, il mio sito in costruzione è visibile attraverso http://<mio ip>)
- 20 e 21 (per vsftpd, l'ftp mi è utilissimo per mandare grossi file)

Le porte "in ascolto" sono indicate nella foticina che ho postato piu sopra.

Ora vi chiedo:
- Nella foto c'è una porta aperta "2208" aperta per un servizio "sconosciuto". netstat -atu la indica come "LISTEN".. Ma io non ho impostato nessuna regola per questa porta come mai è aperta ed in ascolto?
- Ovviamente ogni ulteriore commento è sempre ben accetto. Grazie a tutti coloro che fino ad ora sono intervenuti

[pietrovischia]

Ora vi chiedo:
- Nella foto c'è una porta aperta "2208" aperta per un servizio "sconosciuto". netstat -atu la indica come "LISTEN".. Ma io non ho impostato nessuna regola per questa porta come mai è aperta ed in ascolto?
- Ovviamente ogni ulteriore commento è sempre ben accetto. Grazie a tutti coloro che fino ad ora sono intervenuti

Hai provato a usare Nmap per la scansione?

Ma soprattutto: prova con

Codice:

telnet ip:2208 dove ip è l'ip che hai messo per netstat (127.0.0.1? 192.168.X.Y? il tuo ip pubblico?

e vedi cosa ti risponde

Per netstat non avevo usato nessun ip.. Avevo semplicemente scritto

$ netstat -atu

ed ho ottenuto quanto scritto nel mio precedente post..

ho scritto poi

$ telnet 127.0.0.1:2208

Mi risponde con:

telnet: could not resolve 127.0.0.1:2208/telnet: Name or service not known

analoghe risposte anche se faccio:

$ telnet 127.0.0.1:2208
$ telnet <mio ip>:2208
$ telnet 127.0.0.1:80
$ telnet 127.0.0.1:6073

- Nella foto c'è una porta aperta "2208" aperta per un servizio "sconosciuto". netstat -atu la indica come "LISTEN".. Ma io non ho impostato nessuna regola per questa porta come mai è aperta ed in ascolto?
- Ovviamente ogni ulteriore commento è sempre ben accetto. Grazie a tutti coloro che fino ad ora sono intervenuti

E' una porta aperta probabilmente di default, a cosa, non so dirti, ma se la vuoi chiudere ti fai un firewall con le contro @@ è stai tranquillo..

Io ti consiglio IPFILTER che gira anche su linux, anche se su linux è ancora testing,ma ti posso assicurare che è una roccia ..


http://coombs.anu.edu.au/~avalon/

Bye

Ora vi chiedo:
- Nella foto c'è una porta aperta "2208" aperta per un servizio "sconosciuto". netstat -atu la indica come "LISTEN".. Ma io non ho impostato nessuna regola per questa porta come mai è aperta ed in ascolto?

stabilito con netstat -atu che la porta 2208 è in ascolto, per capire il programma che ha instanziato e messo in ascolto e quindi, per intenderci, aperto tale porta utilizza:

Codice:

$ sudo /sbin/fuser -vn tcp 2208

                     USER          PID      ACCESS  COMMAND
2208/tcp           username       pidnumber f....   commandname

dove ho utilizzato sudo perché ti servono i diritti di root nel caso in cui lo USER del processo in ascolto sulla 2208 non sia quello con cui sei loggato; il comando sudo ti chiederà la password di root prima di eseguire fuser.
In questo momento non ho una ubuntu su cui provare, /sbin è il path in cui fuser è presente su RHES3, dovrebbe andare bene anche su ubuntu.

Una volta identificato il processo in esecuzione che ha aperto tale porta, hai due scelte (o almeno quelle che mi vengono in mente ora):

1. evitare, se è possibile e se lo ritieni opportuno, l'esecuzione di tale programma (in tal caso tale porta non sarà più aperta sul tuo host)
2. filtrare tale porta con il router/firewall che utilizzi verso Interner (in tal caso la portà rimmarrà in ascolto sul tuo host ma non sarà visibile da Internet in quanto il firewall quando dovesse ricevere un pacchetto indirizzato a quella porta lo scarterà evitando che questo arrivi al processo in ascolto, cioè predisposto a ricevere quei pacchetti e ad elaborarli, ed è nel processo di elaborazione che se è presente qualche bug si possono verificare problemi di sicurezza)

in realtà mi sembra di acer capito che tale porta non è presente tra quelle cne mappi verso l'interno dal tuo router/firewall che mi aspetto filtri, di default, tutto il resto e quindi anche la 2208; dovresti quindi stare sufficientemente tranquillo.

Relativamente alla prova fatta con il telnet, prova a sostituire i ':' con uno spazio, cioè:

Codice:

$ telnet tuo_ip 2208

Riguardo invece alle porte che mappi verso l'interno, mi permetto di darti un consiglio (preciso che di professione non sono un sistemista ma un programmatore, cioè un generatore di bug ):
l'ftp trasmete i dati in chiaro, compresi username e password, si potrebbe valutare la sua sostituzione con un ssh e relativo scp ma, anche in questo caso, con i dovuti accorgimenti.

Io ti consiglio IPFILTER che gira anche su linux, anche se su linux è ancora testing,ma ti posso assicurare che è una roccia ..

Il buon vecchio IPTABLES non lo consigli?

Ecco l'output di netstat -atu.
Purtroppo non compare il numero della porta da chiudere.. In che modo può essermi utile questo comando?

Tutto ciò che sta dopo i : è la porta che stai utilizzando. Nel tuo caso invece della porta c'è scritto il protocollo utilizzato. Devi dunque sapere che porta utilizza il protocollo.
Ad esempio:
localhost:www equivale a localhost:80
localhost:mysql equivale a localhost:3306

Mi sà che siamo ad una svolta.

Partendo dal suggerimento di Criluzone:

$ sudo fuser -vn tcp 2208

USER PID ACCESS COMMAND
2208/tcp: root 4280 F.... hpiod

Lo sconosciuto impostore è hpiod, ovvero il demone della mia stampante hp...

Che ci fa la mia stampante connessa e in attesa?? (le stampanti di rete non sono porta 631 normalmente?..)

A questo punto mi domando:
- visto che hpiod vuole stare li e non ho la minima idea di come chiuderlo
- visto che ho ftp e apache che non mi servono sempre aperti, ma in fin dei conti solo quando dico io..

Allora non risolverei prima la situazione usando questo ipfilter o iptables che sia?..
In windows usavo zonealarm che devo dire era molto facile... bastava un click per dare la possibilità o no ad una applicazione di interagire con internet.. Questi ipfilter o tables hanno la stessa semplicità? Perchè se è così è fatta... Inoltre.. Rallenterebbero il mio sistema?..