On Wed, May 07, 2003 at 10:33:15PM +0200, Bartosz Feński aka fEnIo wrote:
> On Wed, May 07, 2003 at 06:19:52PM +0200, Łukasz Szymański wrote:
> > > jak mozna za pomoca iptables zablokowac skanowanie portow maszyny?
> > do blokowania skanow mozesz uzyc portsentry.
> > tylko musisz otworzyc na firewallu porty na ktorych nasluchuje.
> Dobrze od czasu do czasu zobaczyć zabawne wypowiedzi ;)
>
> pozdr,
> fEnIo
a mozesz napisac co jest takie zabawne?
mozliwe ze zle rozumuje...
mam filtr pakietow na iptables.
generalnie blokuje wszystko oprocz kilku portow,
na ktorych mam rozne uslugi(ssh,smtp,pop3,www),oraz tych na ktorych nasluchuje
portsentry.
aby uchronic sie przed skanowaniem portow zrobilem take cos:
portsentry.conf:
[...]
TCP_PORTS="1,11,15,111,143,540,1243,1524,3128,8080,12345,12346,32773,49724,54320"
UDP_PORTS="1,7,9,69,161,162,513,640,700,32770,32771,32772,32773,32774,54321"
[...]
KILL_ROUTE="/sbin/iptables -I dropped -s $TARGET$ -j DROP"
[...]
rc.firewall:
[...]
TCP_PORTS="1,11,15,111,143,540,1243,1524,3128,8080,12345,12346,32773,49724,54320"
UDP_PORTS="1,7,9,69,161,162,513,640,700,32770,32771,32772,32773,32774,54321"
[...]
$IPT -t filter -A blocked_tcp_ports -p tcp -s 0/0 -m multiport \
--destination-ports $TCP_PORTS -j ACCEPT
$IPT -t filter -A blocked_udp_ports -p udp -s 0/0 -m multiport \
--destination-ports $UDP_PORTS -j ACCEPT
[...]
$IPT -t filter -A INPUT -p tcp -j dropped
$IPT -t filter -A INPUT -p tcp -j blocked_tcp_ports
$IPT -t filter -A INPUT -p udp -j blocked_udp_ports
[...]
jak widac skany sa udaremniane za pomoca iptables, chocaz
regulki dodaje portsentry.
wydaje mi sie ze jest to dobry sposob na wykrywanie prob skanowania,
ale jesli sie myle to prosZe o korekte.
pozdr
szuman
