https://www.opennet.ru/openforum/vsluhforumID3/63020.html Имеется сервер на нем ssh и web. Ниже приведён простой пример правил для блокирования на определенное время IP, обратившегося по неактивному номеру порта.<br><br> iptables -P INPUT DROP<br> iptables -P OUTPUT DROP<br> iptables -P FORWARD DROP<br><br> iptables -A INPUT -p all -i lo -j ACCEPT<br> iptables -A OUTPUT -p all -o lo -j ACCEPT<br><br> # любой пакет идущий на не 22,80 порт блокируется с ip адресом отправившим его на 120 секунд, <br> # на 120 секунд блокируется все пакеты с этого ip, тем самым предотвращается сканирование портов<br> iptables -A INPUT -m recent --rcheck --seconds 120 --name FUCKOFF -j DROP<br> iptables -A INPUT -p tcp -m multiport ! --dports 22,80 -m recent --set --name FUCKOFF -j DROP<br><br> iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT<br> iptables -A INPUT -p tcp --syn --dport 80 -j ACCEPT<br> iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT<br> iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br><br><br>Теперь nmap -sV ip не выдаст ничего https://www.opennet.ru/openforum/vsluhforumID3/63020.html#33 Thu, 11 Sep 2014 16:34:50 GMT Так же можно использовать psad (http://sysadm.pp.ua/linux/xtables-addons.html) или же это &#8212; http://sysadm.pp.ua/linux/iptables-antiscan.html<br> https://www.opennet.ru/openforum/vsluhforumID3/63020.html#32 Fri, 25 Jul 2014 13:30:32 GMT Можно использовать аддон - http://sysadm.pp.ua/linux/xtables-addons.html<br> https://www.opennet.ru/openforum/vsluhforumID3/63020.html#31 Mon, 14 Jun 2010 22:41:47 GMT ну какбэ и школьник понимает что остальные правила просто не будут отрабатыватсья после пинцета<br> https://www.opennet.ru/openforum/vsluhforumID3/63020.html#30 Fri, 22 Jan 2010 23:00:01 GMT Мсье знает толк в извращениях...<br> https://www.opennet.ru/openforum/vsluhforumID3/63020.html#29 Thu, 21 Jan 2010 19:46:42 GMT IMHO, агрессивно(не в смысле включения контратак(поддерживается но не рекомендуется и это ТруЪ), а в смысле чувствительности)настроенный PSAD - закрывает 80% ниболее зло..х проблем.<br>вместе с блэклистами сетей из известных ресурсов и proxy-файрволом(внумчиво настроив анализ содержимого(!!)пакетов в последних) - нешуточно облегчает жизнь.<br><br>про "поизвращаться" - если есть ресурсы(хотя бы 1(один прописью)ненужный неновый ПК), можно редиректить все в "песочницу" отдельного хоста с лютой эмуляцией "прогиба" внутри и генерацией(заведомо интересных)ресурсво "на лету".<br>как опция - в песочницу QEMU/EMC VMWare чтонить подобное бросить.<br> https://www.opennet.ru/openforum/vsluhforumID3/63020.html#28 Thu, 21 Jan 2010 19:20:09 GMT Вам же сказали про пинцет под названием REJECT<br> https://www.opennet.ru/openforum/vsluhforumID3/63020.html#26 Wed, 20 Jan 2010 20:22:47 GMT Хорошо придумано.<br>Но по-моему можно еще проще: вторую строку записать как<br><br>iptables -A INPUT -m recent --set --name FUCKOFF -j DROP<br><br>и поставить в самом конце цепочки INPUT. Тогда все пакеты, которые не были пойманы ни одним вышестоящим правилом, будут попадать на нее. И не надо будет возиться с исключениями вида "! --dport 5173".<br> https://www.opennet.ru/openforum/vsluhforumID3/63020.html#25 Wed, 20 Jan 2010 19:39:23 GMT &gt;изобретаем PSAD ? <br>&gt;или что-то типа FWSnort ? <br>&gt;автору - поставьте задачу ТОЧНЕЕ, пожалуйста. <br><br>У себя так делаю, только на 22м порту с MaxAuthTries 1 и --syn --hitcount 2 --seconds 500 -j DROP<br>а перед ним --state ESTABLISHED,RELATED -j ACCEPT<br><br>А еще можно поизвращаться в виде сброса 60% пакетов.<br><br>Есть также есть технология port knocking.<br> https://www.opennet.ru/openforum/vsluhforumID3/63020.html#24 Wed, 20 Jan 2010 08:36:06 GMT Ха! Это вам надо надеяться на вменяемость всех транзитных провайдеров, что они не пропустят пакеты с подложными адресами.<br>По сабжу - параноидальный бред, который рождает кучу гемороя.<br>