Cách định cấu hình iptables để một cổng không mong muốn không được báo cáo là đã lọc

9

Tôi muốn ngăn người khác thấy các cổng của tôi được lọc trong quá trình quét tiêu chuẩn nmap (không có đặc quyền). Giả sử tôi mở các cổng sau: 22, 3306, 995 và tường lửa được cấu hình như thế này:

-A INPUT -p tcp -m tcp --dport 22 -j DROP
-A INPUT -p tcp -m tcp --dport 3306 -j DROP
-A INPUT -p tcp -m tcp --dport 995 -j DROP

Đây là kết quả của quá trình quét nmap:

[+] Nmap scan report for X.X.X.X

    Host is up (0.040s latency).
    Not shown: 90 closed ports

    PORT     STATE    SERVICE
    22/tcp   filtered ssh
    995/tcp  filtered pop3s
    3306/tcp filtered mysql

Nó hiển thị các cổng này khi được lọc, vì máy chủ của tôi không trả lời RST cho SYN. Có cách nào để sửa đổi hành vi này? Ví dụ: nếu tường lửa iptables chặn một cổng, hãy trả lời RST cho SYN, thay vì giữ im lặng (không trả lời bất cứ điều gì)?

linux  security  iptables  tcp  tcpip 
người dùng3125731
nguồn

Câu trả lời:

18

Không sử dụng DROP, điều đó dễ dàng được xác định là "đã lọc" nếu bạn biết hộp đã hết. Thay vào đó, bạn có thể sử dụng cách sau để gửi RST. (như thể có một dịch vụ lắng nghe, nhưng nó không chấp nhận kết nối từ bạn)

-A INPUT -p tcp -m tcp --dport 22 -j REJECT --reject-with tcp-reset

Hoặc đơn giản là sử dụng những điều sau đây để làm cho cổng trông đóng. (như thể không có dịch vụ nghe trên đó)

-A INPUT -p tcp -m tcp --dport 22 -j REJECT
jornane
nguồn
9 
-A INPUT -p tcp -m tcp --dport 995 -j REJECT --reject-with tcp-reset

nên làm những gì bạn muốn (trả lời với RST).

Sven
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.