The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Как сделать порт невидимым для nmap?"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Как сделать порт невидимым для nmap?"  
Сообщение от chainik (??) on 04-Янв-06, 22:00 
Например, если добавить правило
/usr/sbin/iptables -A INPUT -s ! 192.168.0.0/24 -p tcp  --destination-port pop3 -j DROP
, то nmap из нелокальной сети сдает этот порт как filtered
"110/tcp filtered pop3"

Как сделать, чтобы nmap вообще не нашла об этом порте никаких сведений?

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Как сделать порт невидимым для nmap?"  
Сообщение от toor99 email(??) on 05-Янв-06, 00:04 
>Например, если добавить правило
>/usr/sbin/iptables -A INPUT -s ! 192.168.0.0/24 -p tcp  --destination-port pop3 -j DROP,
> то nmap из нелокальной сети сдает этот порт как filtered
>"110/tcp filtered pop3"

Потому, что DROP.

>Как сделать, чтобы nmap вообще не нашла об этом порте никаких сведений?

Нужно в ответ возвращать ICMP с кодом "Port Unreachable". То-есть, поставить REJECT вместо DROP, а также посмотреть опцию "--reject-with type" (must be "--reject-with type icmp-port-unreachable").

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Как сделать порт невидимым для nmap?"  
Сообщение от Den (??) on 05-Янв-06, 11:29 
#----------------------------#
#      INVALID PACKETS       #
#----------------------------#


function INVALID {
# Drop illegal flag combinations which also prevents most port scanning
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
}

вот так не сканится :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Как сделать порт невидимым для nmap?"  
Сообщение от Den (??) on 05-Янв-06, 11:36 
В конце еще надо добавить одно правило
$IPT -t mangle -A PREROUTING -m state --state INVALID -j DROP
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Как сделать порт невидимым для nmap?"  
Сообщение от Just on 07-Дек-07, 19:32 
>>Например, если добавить правило
>>/usr/sbin/iptables -A INPUT -s ! 192.168.0.0/24 -p tcp  --destination-port pop3 -j DROP,
>> то nmap из нелокальной сети сдает этот порт как filtered
>>"110/tcp filtered pop3"
>
>Потому, что DROP.
>
>>Как сделать, чтобы nmap вообще не нашла об этом порте никаких сведений?

/usr/sbin/iptables -A INPUT -s ! 192.168.0.0/24 -p tcp  --destination-port pop3 -j REJECT --reject-with tcp-reset

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor