Тут показані розбіжності між вибраною ревізією та поточною версією сторінки.
Both sides previous revision Попередня ревізія | Остання ревізія Both sides next revision | ||
iptables [2016/11/09 23:06] wombat Заголовки на уровень выше + systemd |
iptables [2016/11/09 23:29] wombat Предотвращение сканирования портов |
||
---|---|---|---|
Рядок 60: | Рядок 60: | ||
+ | ====== Предотвращение сканирования портов ====== | ||
+ | |||
+ | Чтобы предотвратить сканирование портов, рекомендуют((https://www.ossramblings.com/using_iptables_rate_limiting_to_prevent_portscans)) использовать следующие правила: | ||
+ | |||
+ | iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP | ||
+ | iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP | ||
+ | | ||
+ | iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP | ||
+ | iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP | ||
+ | iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP | ||
+ | | ||
+ | iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP | ||
+ | iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP | ||
+ | iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP | ||
+ | iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP | ||
+ | |||
+ | в том числе сканирование nmap: | ||
+ | |||
+ | iptables -A INPUT -p tcp -i eth0 -m state --state NEW -m recent --set | ||
+ | iptables -A INPUT -p tcp -i eth0 -m state --state NEW -m recent --update --seconds 30 --hitcount 10 -j DROP | ||
+ | iptables -A FORWARD -p tcp -i eth0 -m state --state NEW -m recent --set | ||
+ | iptables -A FORWARD -p tcp -i eth0 -m state --state NEW -m recent --update --seconds 30 --hitcount 10 -j DROP | ||
+ | |||
+ | Эти правила должны отбрасывать пакеты, если в течение 30 секунд пользователь подключается более 10 раз. | ||
====== LOG ====== | ====== LOG ====== |