Iptables'ı istenmeyen bir bağlantı noktası filtrelenmiş olarak bildirilmeyecek şekilde yapılandırma

9

Başkalarının nmap standart taramasında (ayrıcalıklı olmayan) filtrelerimi filtreler olarak görmelerini engellemek istiyorum. Aşağıdaki bağlantı noktalarının açık olduğunu varsayalım: 22, 3306, 995 ve bunun gibi yapılandırılmış bir güvenlik duvarı:

-A INPUT -p tcp -m tcp --dport 22 -j DROP
-A INPUT -p tcp -m tcp --dport 3306 -j DROP
-A INPUT -p tcp -m tcp --dport 995 -j DROP

Bu bir nmap taramasının sonucudur:

[+] Nmap scan report for X.X.X.X

    Host is up (0.040s latency).
    Not shown: 90 closed ports

    PORT     STATE    SERVICE
    22/tcp   filtered ssh
    995/tcp  filtered pop3s
    3306/tcp filtered mysql

Sunucum SYN için RST'yi yanıtlamadığı için bu bağlantı noktalarını filtrelenmiş olarak görüntüler. Bu davranışı değiştirmenin bir yolu var mı? Örneğin: iptables güvenlik duvarı bir bağlantı noktasını engelliyorsa, sessiz kalmak yerine (hiçbir şeyi yanıtlamamak yerine) SYN için RST'yi yanıtlayın.

linux  security  iptables  tcp  tcpip 
user3125731
kaynak

Yanıtlar:

18

DROP'u kullanmayın, kutunun hazır olduğunu biliyorsanız kolayca "filtrelenmiş" olarak tanımlanır. Bunun yerine, bir RST göndermek için aşağıdakileri kullanabilirsiniz. (sanki bir hizmet dinliyormuş gibi, ama sizden gelen bağlantıları kabul etmiyor)

-A INPUT -p tcp -m tcp --dport 22 -j REJECT --reject-with tcp-reset

Veya portun kapalı görünmesi için aşağıdakileri kullanın. (sanki dinleyen bir servis yokmuş gibi)

-A INPUT -p tcp -m tcp --dport 22 -j REJECT
jornane
kaynak
9 
-A INPUT -p tcp -m tcp --dport 995 -j REJECT --reject-with tcp-reset

istediğini yapıyor olmalı (RST ile cevap ver).

Sven
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.