LINUX.ORG.RU

Запрет FIN, X, N -сканирования для проброшенного порта

 , , ,


1

3

Возможно ли отбросить и залогировать данные типы сканирования, для проброшенных портов? Для входящего (INPUT) это все реализовано (лог пишется), и работает. А вот FORWARD никакого лога... Либо я неправильно тестирую проброшенный порт ?...

nmap -vvv -sT x.x.x.x -p 10000

Вот часть того, что сделано

...

# Запрет FIN-сканирования
iptables -A scanners -p tcp -m tcp --tcp-flags FIN,ACK FIN -j LOG --log-prefix "FIN-scan: "
iptables -A scanners -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
# Запрет X-сканирования
iptables -A scanners -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j LOG --log-prefix "X-scan: "
iptables -A scanners -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
# Запрет N-сканирования
iptables -A scanners -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG --log-prefix "N-scan: "
iptables -A scanners -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
# Защита от SYN/ACK-сканирования
iptables -A osf_scanners -p tcp -m osf --genre NMAP -j LOG --log-prefix "SYN-ACK-scan:"
iptables -A osf_scanners -p tcp -m osf --genre NMAP -j DROP

...

iptables -A INPUT -p tcp -j scanners
iptables -A INPUT -p tcp -j osf_scanners

...

iptables -A FORWARD -p tcp -j scanners
iptables -A FORWARD -p tcp -j osf_scanners





Последнее исправление: i2life (всего исправлений: 3)

Вот часть того, что сделано

От чего ты надеешься таким образом защититься?

anonymous
()
Ответ на: комментарий от anonymous

Ну если обнаружится нестандартный скан, то адрес в черный список fail2ban (filter уже составил). Идея в том, что если проброшенный порт злоумышленник случайно отсканирует, то его добавить в черный список.

i2life
() автор топика
Ответ на: комментарий от i2life

так если злоумышленник таргетированно сканит тебя, что мешает ему продолжить свою чёрную работу с другого IP?

snoopcat ★★★★★
()
Ответ на: комментарий от snoopcat

Ну вот такое ТЗ: «Помещение атакующих IP-адресов в «черный список» », ничего не могу с этим поделать. По делу скажите, конструкция правильная?

i2life
() автор топика
Ответ на: комментарий от i2life

ничего не могу с этим поделать

Можешь. Разрывай контракт.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.