Come configurare iptables in modo che una porta indesiderata non venga segnalata come filtrata

9

Vorrei impedire ad altri di vedere le mie porte come filtrate nella scansione standard di nmap (senza privilegi). Diciamo che ho le seguenti porte aperte: 22, 3306, 995 e un firewall configurato in questo modo:

-A INPUT -p tcp -m tcp --dport 22 -j DROP
-A INPUT -p tcp -m tcp --dport 3306 -j DROP
-A INPUT -p tcp -m tcp --dport 995 -j DROP

Questo è il risultato di una scansione nmap:

[+] Nmap scan report for X.X.X.X

    Host is up (0.040s latency).
    Not shown: 90 closed ports

    PORT     STATE    SERVICE
    22/tcp   filtered ssh
    995/tcp  filtered pop3s
    3306/tcp filtered mysql

Visualizza queste porte come filtrate, perché il mio server non ha risposto a RST per SYN. C'è un modo per modificare questo comportamento? Ad esempio: se il firewall iptables blocca una porta, rispondere a RST per SYN, invece di rimanere in silenzio (non rispondere a nulla)?

linux  security  iptables  tcp  tcpip 
user3125731
fonte

Risposte:

18

Non usare DROP, che è facilmente identificato come "filtrato" se sai che la casella è aperta. Invece, è possibile utilizzare quanto segue per inviare un RST. (come se ci fosse un servizio in ascolto, ma non accetta connessioni da te)

-A INPUT -p tcp -m tcp --dport 22 -j REJECT --reject-with tcp-reset

Oppure utilizza semplicemente quanto segue per far sembrare chiusa la porta. (come se non ci fosse alcun servizio in ascolto)

-A INPUT -p tcp -m tcp --dport 22 -j REJECT
jornane
fonte
9 
-A INPUT -p tcp -m tcp --dport 995 -j REJECT --reject-with tcp-reset

dovrebbe fare quello che vuoi (rispondi con RST).

Sven
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.