The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Активное противодействие сканированию портов
Имеется сервер на нем ssh и web. Ниже приведён простой пример правил для
блокирования на определенное время IP, обратившегося по неактивному номеру порта.

   iptables -P INPUT DROP
   iptables -P OUTPUT DROP
   iptables -P FORWARD DROP

   iptables -A INPUT -p all -i lo -j ACCEPT
   iptables -A OUTPUT -p all -o lo -j ACCEPT

   # любой пакет идущий на не 22,80 порт блокируется с ip адресом отправившим его на 120 секунд, 
   # на 120 секунд блокируется все пакеты с этого ip, тем самым предотвращается сканирование портов
   iptables -A INPUT -m recent --rcheck --seconds 120 --name FUCKOFF -j DROP
   iptables -A INPUT -p tcp -m multiport ! --dports 22,80 -m recent --set --name FUCKOFF -j DROP

   iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
   iptables -A INPUT -p tcp --syn --dport 80 -j ACCEPT
   iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
   iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


Теперь nmap -sV ip не выдаст ничего и  если какой нибудь демон повесить на
нестандартный порт, его будет не так просто обнаружить.
 
18.01.2010 , Автор: Владимир , Источник: http://linux-online-ru.blogspot.com...
Ключи: iptables, linux, port, firewall, block, security / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Пакетные фильтры и фаерволы / Пакетные фильтры в Linux: iptables, ipchains

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, фейри, 12:08, 18/01/2010 [ответить] [смотреть все]
  • +/
    Таким же образом защищаем сеть за роутером.
     
  • 1.2, Новодворская, 12:16, 18/01/2010 [ответить] [смотреть все]
  • +/
       iptables -P INPUT DROP
       iptables -P OUTPUT DROP
       iptables -P FORWARD DROP

    это просто фееричный пинцет...

     
     
  • 2.12, Andrey Mitrofanov, 20:38, 18/01/2010 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    Вас очень смущает http openforum vsluhforumID10 4466 html 7 то, что вы чего-то ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, що, 02:41, 15/06/2010 [^] [ответить] [смотреть все]  
  • +/
    ну какбэ и школьник понимает что остальные правила просто не будут отрабатыватсь... весь текст скрыт [показать]
     
  • 1.3, adm, 12:39, 18/01/2010 [ответить] [смотреть все]  
  • +/
    спасибо пригодится
     
  • 1.4, Pahanivo, 14:05, 18/01/2010 [ответить] [смотреть все]  
  • +/
    ...
    и пареллельно ГЛУШИМ ВЕСЬ АКТИВНЫЙ FTP, и спустя пару месяцев сильно и долго удивляемся почему глючит эфтипишник ))
    некоторые типы ICMP надо бы тоже пропускать чтобы не разводить тараканов на пустом месте ...
     
     
  • 2.5, Аноним, 14:15, 18/01/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    в каком году уважаемый видел последний раз фтп сервер в активном режиме?
     
     
  • 3.7, Pahanivo, 15:35, 18/01/2010 [^] [ответить] [смотреть все]  
  • +/
    ежедневно, просто щас много народу торчит в сеть напрямую с паблик айпи и пробле... весь текст скрыт [показать]
     
     
  • 4.9, KdF, 16:59, 18/01/2010 [^] [ответить] [смотреть все]  
  • +/
    Да-да, особенно если учесть дыру в хелпере активного FTP в netfilter и других st... весь текст скрыт [показать]
     
     
  • 5.13, Andrey Mitrofanov, 20:49, 18/01/2010 [^] [ответить] [смотреть все]  
  • +/
    Не просветите ссылочкой Желательно с рецензией кого из авторой netfilter ну, н... весь текст скрыт [показать]
     
     
  • 6.19, pavlinux, 15:12, 19/01/2010 [^] [ответить] [смотреть все]  
  • +/
    Ты чаво, такую тему пропустил Пред Новым годом было http www opennet ru ope... весь текст скрыт [показать]
     
     
  • 7.21, Andrey Mitrofanov, 19:22, 19/01/2010 [^] [ответить] [смотреть все]  
  • +/
    Угу, прощёлкал Видимо принял за британских учёных с фороникса ... весь текст скрыт [показать]
     
  • 2.10, User294, 18:46, 18/01/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    И весь софт динамически использующий порты, типа SIPов всяких Guide забавен но ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, Pahanivo, 14:46, 19/01/2010 [^] [ответить] [смотреть все]  
  • +/
    ны дык я привел самый распространненый и злободневный пример изначально понят... весь текст скрыт [показать]
     
  • 1.6, pavlinux, 15:29, 18/01/2010 [ответить] [смотреть все]  
  • +/
    > iptables -P OUTPUT DROP

    Угу...

     
  • 1.8, pavlinux, 16:35, 18/01/2010 [ответить] [смотреть все]  
  • +/
    nmap -f -sSV 192.168.20.1 -e eth1 -P0 -p 109-112  -S 192.168.20.2 --ip-options "\x44\x24\x05\x03\192\168\20\1\x00*4\127\0\0\1\x00*4\127\0\0\1\x00*4\127\0\0\1\x00*4" --send-eth;

    Interesting ports on 192.168.20.1:
    PORT    STATE    SERVICE VERSION
    109/tcp closed   pop2
    110/tcp closed   pop3
    111/tcp [b]filtered[/b] rpcbind
    112/tcp closed   mcidas
    MAC Address: 00:A0:D1:53:B0:EA (Inventec)

    Опа, фильтрует...

     
  • 1.11, Square, 20:04, 18/01/2010 [ответить] [смотреть все]  
  • +/
    # любой пакет идущий на не 22,80 порт блокируется с ip адресом отправившим его на 120 секунд,
       # на 120 секунд блокируется все пакеты с этого ip, тем самым предотвращается сканирование портов
      
    и отправив пакет от имени этого адреса - легко организуем DOS для него
     
  • 1.14, Egenius, 12:21, 19/01/2010 [ответить] [смотреть все]  
  • +/
    Не понимаю зачем так изощряться, а не сделать проще - сначала открыть все необходимые порты, а затем последним правилом отбрасывать всё, что не разрешено, например таким правилом: [code]-A INPUT -j REJECT --reject-with icmp-host-prohibited
    "[/code]
     
  • 1.15, ffsdmad, 12:32, 19/01/2010 [ответить] [смотреть все]  
  • +/
    Интересный пример, с точки зрения применения модуля -m recent --rcheck --seconds 120 --name FUCKOFF

    но как смысл в блокировании на 120 секунд того кто ломится на не открытый порт?

     
     
  • 2.16, Andrey Mitrofanov, 13:29, 19/01/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Если Вы почитаете страничку google ru -m recent модуля recent, то с удивле... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.18, pavlinux, 14:56, 19/01/2010 [^] [ответить] [смотреть все]  
  • +/
    1 А где написано про более трёх раз 2 --hitcount 3 надо добавлять 3 И не... весь текст скрыт [показать]
     
     
  • 4.20, Аноним, 17:35, 19/01/2010 [^] [ответить] [смотреть все]  
  • +/
    Вам для этого нужно быть в одной подсети с ними, либо надеяться на тупость всех ... весь текст скрыт [показать]
     
     
  • 5.24, syd, 11:36, 20/01/2010 [^] [ответить] [смотреть все]  
  • +/
    Ха! Это вам надо надеяться на вменяемость всех транзитных провайдеров, что они не пропустят пакеты с подложными адресами.
    По сабжу - параноидальный бред, который рождает кучу гемороя.
     
  • 2.23, adm, 21:56, 19/01/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Смысл в сокрытии демона, статья помечена такой меткой в блоге :)
    альтернативный пример использования описаного метода
    sshd вешаем на нестандартный порт 5173
    прописываем такие правила
    iptables -A INPUT -m recent --rcheck --seconds 180 --name FUCKOFF -j DROP
    iptables -A INPUT -p tcp ! --dports 5173 -m recent --set --name FUCKOFF -j DROP

    теперь почти не реально узнать есть ли на удаленной хосте что  нибудь или нет

     
     
  • 3.26, reminux, 23:22, 20/01/2010 [^] [ответить] [смотреть все]  
  • +/
    Хорошо придумано.
    Но по-моему можно еще проще: вторую строку записать как

    iptables -A INPUT -m recent --set --name FUCKOFF -j DROP

    и поставить в самом конце цепочки INPUT. Тогда все пакеты, которые не были пойманы ни одним вышестоящим правилом, будут попадать на нее. И не надо будет возиться с исключениями вида "! --dport 5173".

     
  • 3.28, OSO, 22:20, 21/01/2010 [^] [ответить] [смотреть все]  
  • +/
    Вам же сказали про пинцет под названием REJECT
     
  • 1.22, Basiley, 21:27, 19/01/2010 [ответить] [смотреть все]  
  • +/
    изобретаем PSAD ?
    или что-то типа FWSnort ?
    автору - поставьте задачу ТОЧНЕЕ, пожалуйста.
     
     
  • 2.25, koffu, 22:39, 20/01/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    >изобретаем PSAD ?
    >или что-то типа FWSnort ?
    >автору - поставьте задачу ТОЧНЕЕ, пожалуйста.

    У себя так делаю, только на 22м порту с MaxAuthTries 1 и --syn --hitcount 2 --seconds 500 -j DROP
    а перед ним --state ESTABLISHED,RELATED -j ACCEPT

    А еще можно поизвращаться в виде сброса 60% пакетов.

    Есть также есть технология port knocking.

     
     
  • 3.29, Basiley, 22:46, 21/01/2010 [^] [ответить] [смотреть все]  
  • +/
    IMHO, агрессивно(не в смысле включения контратак(поддерживается но не рекомендуется и это ТруЪ), а в смысле чувствительности)настроенный PSAD - закрывает 80% ниболее зло..х проблем.
    вместе с блэклистами сетей из известных ресурсов и proxy-файрволом(внумчиво настроив анализ содержимого(!!)пакетов в последних) - нешуточно облегчает жизнь.

    про "поизвращаться" - если есть ресурсы(хотя бы 1(один прописью)ненужный неновый ПК), можно редиректить все в "песочницу" отдельного хоста с лютой эмуляцией "прогиба" внутри и генерацией(заведомо интересных)ресурсво "на лету".
    как опция - в песочницу QEMU/EMC VMWare чтонить подобное бросить.

     
     
  • 4.30, Аноним, 02:00, 23/01/2010 [^] [ответить] [смотреть все]  
  • +/
    Мсье знает толк в извращениях...
     
  • 1.32, Аноним, 17:30, 25/07/2014 [ответить] [смотреть все]  
  • +/
    Можно использовать аддон - http://sysadm.pp.ua/linux/xtables-addons.html
     
  • 1.33, agubernatorov, 20:34, 11/09/2014 [ответить] [смотреть все]  
  • +/
    Так же можно использовать psad (http://sysadm.pp.ua/linux/xtables-addons.html) или же это — http://sysadm.pp.ua/linux/iptables-antiscan.html
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:




      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor