So konfigurieren Sie iptables, damit ein unerwünschter Port nicht als gefiltert gemeldet wird


9

Ich möchte andere daran hindern, meine Ports im nmap-Standard-Scan als gefiltert (nicht privilegiert) zu sehen. Angenommen, ich habe die folgenden Ports geöffnet: 22, 3306, 995 und eine Firewall, die wie folgt konfiguriert ist:

-A INPUT -p tcp -m tcp --dport 22 -j DROP
-A INPUT -p tcp -m tcp --dport 3306 -j DROP
-A INPUT -p tcp -m tcp --dport 995 -j DROP

Dies ist das Ergebnis eines nmap-Scans:

[+] Nmap scan report for X.X.X.X

    Host is up (0.040s latency).
    Not shown: 90 closed ports

    PORT     STATE    SERVICE
    22/tcp   filtered ssh
    995/tcp  filtered pop3s
    3306/tcp filtered mysql

Diese Ports werden als gefiltert angezeigt, da mein Server RST für SYN nicht beantwortet hat. Gibt es eine Möglichkeit, dieses Verhalten zu ändern? Beispiel: Wenn die iptables-Firewall einen Port blockiert, antworten Sie RST für SYN, anstatt still zu bleiben (nichts zu antworten)?

Antworten:


18

Verwenden Sie kein DROP, das leicht als "gefiltert" identifiziert werden kann, wenn Sie wissen, dass die Box aktiv ist. Stattdessen können Sie Folgendes verwenden, um eine RST zu senden. (als ob ein Dienst lauscht, aber keine Verbindungen von Ihnen akzeptiert)

-A INPUT -p tcp -m tcp --dport 22 -j REJECT --reject-with tcp-reset

Oder verwenden Sie einfach das Folgende, um den Port geschlossen aussehen zu lassen. (als ob kein Dienst darauf hört)

-A INPUT -p tcp -m tcp --dport 22 -j REJECT

9
-A INPUT -p tcp -m tcp --dport 995 -j REJECT --reject-with tcp-reset

sollte tun, was Sie wollen (antworten Sie mit RST).

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.