Comments 44
ефективним — одно слово, три ошибки
+3
За размер лога не боитесь? Думаю крупный ботнет быстро заполнит свободное место на венике.
+7
logrotate?
0
Это верно,
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -m limit --limit 5/min -j LOG --log-prefix «Stealth scan»
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -m limit --limit 5/min -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -m limit --limit 5/min -j LOG --log-prefix «Stealth scan»
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -m limit --limit 5/min -j DROP
+1
Извиняюсь за ошибки так как нерусский я. Такая вероятнось ничтожна, никто небудет тратить время на забивание места на харде.К тому же для етого существуют более оригинальные способы.
0
Никогда не понимал практики параноидальных фаирволов. Некоторые вообще любят ICMP блокировать.
+6
А зачем нужны ICMP кроме type 8 и type 13 при типичной сети? Можно ещё и type 30 использовать (чисто для traceroute), но далеко не обязательно — tracepath или mtr используют type 8
0
я думаю, человек имел в виду, что многие запрещают echo-request/reply, а это да, гадская привычка.
+1
Ну это всё равно, что сказать «запрещают TCP-трафик», имея в виду только веб и почту.
0
UFO just landed and posted this here
И все же живой человек сможет ваши порты просканировать незаметно =). Вы закрыли только одну из некоторого количества лазеек ;). Наверняка в ваш лог не упадет запись про сканирование с флагами -sS -sN и некоторых других видов скана =).
В жизни довольно мало ситуаций, когда требуется подобные меры.
В жизни довольно мало ситуаций, когда требуется подобные меры.
+1
Неспорю с вами ето так… но я показал самую распостраненную лазейку.Сканирование же с флагами -sS -sN, да их пишут не все системы журналирования.Но это отнюдь не означает, что их невозможно отследить!
Но вообще конечно подобные меры крайне редки.
Но вообще конечно подобные меры крайне редки.
+1
Для всех сканеров есть 1 правило — стук ниже 20 порта — бан, на определённое время.
+2
Коментируем граждане что ненравится в заметке моей, ато вижу минуса лупят непонятно за что… то у вас за мода такая, поставил так прокоментируй!
0
Андрей, нужно ещё наклепать и правил, как недопустить упомянутые сканы при -sS -sN. ну и не совсем понятно / плохо описанно, что означают поставленые в примере флаги. особенно замудренно и запутанно предложение «Первый список состояний (ACK,FIN) перечисляет тестируемые флаги, второй (FIN) – те из них, что установлены.»
+2
Я думаю, уже можно перенести в тематический блог =)
0
UFO just landed and posted this here
Автору: а ещё есть
Не мешает где-то в самом начале ещё и
А вообще паранойи должно быть в меру, не стоит слишком уж переусердствовать.
-A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP -A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP -A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP -A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP -A bad-packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP -A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROPПараноидально-же настроенным гражданам можно ещё про recent и connlimit почитать.
Не мешает где-то в самом начале ещё и
-A INPUT -m conntrack --ctstate INVALID -j DROPнарисовать.
А вообще паранойи должно быть в меру, не стоит слишком уж переусердствовать.
+8
А что плохого такого опасного в сканировании портов? Это безопасность через незнание или что-то еще?
+1
А почему бы не сделать просто
-A INPUT -m conntrack --ctstate NEW -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
(или -j logdrop
, если нравится)?0
Если кто-то с вашего сервера делает сканирование портов, отличное от nmap -sT, то ваша идея с фильтром идёт лесом, поскольку для stealth (SYN) и прочих экзотических видов сканирования уже требуются права рута. Got root — значит могут «поиметь» и всё остальное, включая правила фаерволла.
-6
UFO just landed and posted this here
очень интерисует аналогичное для ipfw
0
Можно использовать psd xtables-addons — sysadm.pp.ua/linux/xtables-addons.html
0
Sign up to leave a comment.
Предотвращение скрытого Nmap сканирования в Linux