Возможно ли отбросить и залогировать данные типы сканирования, для проброшенных портов? Для входящего (INPUT) это все реализовано (лог пишется), и работает. А вот FORWARD никакого лога... Либо я неправильно тестирую проброшенный порт ?...
nmap -vvv -sT x.x.x.x -p 10000
Вот часть того, что сделано
...
# Запрет FIN-сканирования
iptables -A scanners -p tcp -m tcp --tcp-flags FIN,ACK FIN -j LOG --log-prefix "FIN-scan: "
iptables -A scanners -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
# Запрет X-сканирования
iptables -A scanners -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j LOG --log-prefix "X-scan: "
iptables -A scanners -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
# Запрет N-сканирования
iptables -A scanners -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG --log-prefix "N-scan: "
iptables -A scanners -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
# Защита от SYN/ACK-сканирования
iptables -A osf_scanners -p tcp -m osf --genre NMAP -j LOG --log-prefix "SYN-ACK-scan:"
iptables -A osf_scanners -p tcp -m osf --genre NMAP -j DROP
...
iptables -A INPUT -p tcp -j scanners
iptables -A INPUT -p tcp -j osf_scanners
...
iptables -A FORWARD -p tcp -j scanners
iptables -A FORWARD -p tcp -j osf_scanners
