https://www.opennet.ru/openforum/vsluhforumID1/63140.html Например, если добавить правило<br>/usr/sbin/iptables -A INPUT -s ! 192.168.0.0/24 -p tcp --destination-port pop3 -j DROP<br>, то nmap из нелокальной сети сдает этот порт как filtered<br>"110/tcp filtered pop3"<br><br>Как сделать, чтобы nmap вообще не нашла об этом порте никаких сведений? https://www.opennet.ru/openforum/vsluhforumID1/63140.html#4 Fri, 07 Dec 2007 16:32:35 GMT &gt;&gt;Например, если добавить правило <br>&gt;&gt;/usr/sbin/iptables -A INPUT -s ! 192.168.0.0/24 -p tcp --destination-port pop3 -j DROP,<br>&gt;&gt; то nmap из нелокальной сети сдает этот порт как filtered <br>&gt;&gt;"110/tcp filtered pop3" <br>&gt;<br>&gt;Потому, что DROP. <br>&gt;<br>&gt;&gt;Как сделать, чтобы nmap вообще не нашла об этом порте никаких сведений? <br><br>/usr/sbin/iptables -A INPUT -s ! 192.168.0.0/24 -p tcp --destination-port pop3 -j REJECT --reject-with tcp-reset<br> https://www.opennet.ru/openforum/vsluhforumID1/63140.html#3 Thu, 05 Jan 2006 08:36:11 GMT В конце еще надо добавить одно правило<br>$IPT -t mangle -A PREROUTING -m state --state INVALID -j DROP https://www.opennet.ru/openforum/vsluhforumID1/63140.html#2 Thu, 05 Jan 2006 08:29:07 GMT #----------------------------#<br># INVALID PACKETS #<br>#----------------------------#<br><br><br>function INVALID {<br># Drop illegal flag combinations which also prevents most port scanning<br> $IPT -t mangle -A PREROUTING -i $WANIFACE \<br> -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP<br> $IPT -t mangle -A PREROUTING -i $WANIFACE \<br> -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP<br> $IPT -t mangle -A PREROUTING -i $WANIFACE \<br> -p tcp --tcp-flags SYN,RST SYN,RST -j DROP<br> $IPT -t mangle -A PREROUTING -i $WANIFACE \<br> -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP<br> $IPT -t mangle -A PREROUTING -i $WANIFACE \<br> -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP<br> $IPT -t mangle -A PREROUTING -i $WANIFACE \<br> -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP<br> $IPT -t mangle -A PREROUTING -i $WANIFACE \<br> -p tcp --tcp-flags SYN,RST SYN,RST -j DROP<br> $IPT -t mangle -A PREROUTING -i $WANIFACE \<br> -p tcp --tcp-flags FIN,SY https://www.opennet.ru/openforum/vsluhforumID1/63140.html#1 Wed, 04 Jan 2006 21:04:23 GMT &gt;Например, если добавить правило <br>&gt;/usr/sbin/iptables -A INPUT -s ! 192.168.0.0/24 -p tcp --destination-port pop3 -j DROP,<br>&gt; то nmap из нелокальной сети сдает этот порт как filtered <br>&gt;"110/tcp filtered pop3" <br><br>Потому, что DROP.<br><br>&gt;Как сделать, чтобы nmap вообще не нашла об этом порте никаких сведений? <br><br>Нужно в ответ возвращать ICMP с кодом "Port Unreachable". То-есть, поставить REJECT вместо DROP, а также посмотреть опцию "--reject-with type" (must be "--reject-with type icmp-port-unreachable").<br>