Какими правилам можно противостоять сканеру портов.
Что бы при сканировании портов было вроде как хост не отвечает.И как в частности можно сделать, что бы на внешнем интерфейсе гейта не было видно что запущен squid.
>Какими правилам можно противостоять сканеру портов.
>Что бы при сканировании портов было вроде как хост не отвечает.
>
>И как в частности можно сделать, что бы на внешнем интерфейсе гейта
>не было видно что запущен squid.
ipfw -q -v add drop all from any to any in via <external_face>
:)
>>Какими правилам можно противостоять сканеру портов.
>>Что бы при сканировании портов было вроде как хост не отвечает.
>>
>>И как в частности можно сделать, что бы на внешнем интерфейсе гейта
>>не было видно что запущен squid.
>
>
>ipfw -q -v add drop all from any to any in via <external_face>
>:)
В лучшем случае, это просто не будет работать. А в худшем, блокирует ему внешний интерфейс полностью. Что, вообще-то, соответствует условиям задачи, но не соответствует тому, что он хотел получить на самом деле :)
>Какими правилам можно противостоять сканеру портов.
>Что бы при сканировании портов было вроде как хост не отвечает.
>
>И как в частности можно сделать, что бы на внешнем интерфейсе гейта
>не было видно что запущен squid.1) "Вообще" - заменить в запрещающих правилах файрволла "deny" на "reject". Только вообще-то он помечен в мане как deprecated. Можно еще "unreach" с каким-нибудь кодом, какой тебе больше нравится.
2) "В частности" - в squid.conf есть указание, с какого адреса слушать запросы. Не помню, как называется, поищи - найдёшь.
3) (это лирическое отступление) не "Mechanical Orange" (это просто неудачный перевод), а "Clockwork Orange", как и было в оригинале :-)
>>Какими правилам можно противостоять сканеру портов.
>>Что бы при сканировании портов было вроде как хост не отвечает.
>>
>>И как в частности можно сделать, что бы на внешнем интерфейсе гейта
>>не было видно что запущен squid.
>
>1) "Вообще" - заменить в запрещающих правилах файрволла "deny" на "reject". Только
>вообще-то он помечен в мане как deprecated. Можно еще "unreach" с
>каким-нибудь кодом, какой тебе больше нравится.
>2) "В частности" - в squid.conf есть указание, с какого адреса слушать
>запросы. Не помню, как называется, поищи - найдёшь.
>3) (это лирическое отступление) не "Mechanical Orange" (это просто неудачный перевод), а
>"Clockwork Orange", как и было в оригинале :-)1) Если заменить deny на reject. не создам ли я лишний трафик?
2) Вот из конфига
acl all src 0.0.0.0/0.0.0.0
acl allowed_hosts src 192.168.0.0/255.255.0.0
acl allowed_hosts src <реальный IP>/255.255.255.255
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 20 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECThttp_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
#http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
#http_access deny CONNECT !SSL_ports
http_access allow CONNECT
#http_access deny limited_hosts
http_access allow localhost
http_access deny !allowed_hosts
http_access allow Safe_ports
Так вот все равно снаружи кто то коннектился совершенно с других адресов
вырезка из лога
1033092509.173 31063 204.29.169.110 TCP_MISS/200 500 CONNECT 205.188.156.52:25 - DIRECT/205.188.156.52 -3) Если честно не помню как было в книге, а в фильме точно было "Mechanical Orange"
>1) Если заменить deny на reject. не создам ли я лишний трафик?Ну, так, чуть-чуть.
>2) Вот из конфига
>acl all src 0.0.0.0/0.0.0.0
>acl allowed_hosts src 192.168.0.0/255.255.0.0
>acl allowed_hosts src <реальный IP>/255.255.255.255
>acl manager proto cache_object
>acl localhost src 127.0.0.1/255.255.255.255
>acl SSL_ports port 443 563
>acl Safe_ports port 80
> # http
>acl Safe_ports port 21 20 #
>ftp
>acl Safe_ports port 443 563 # https, snews
>
>acl Safe_ports port 70
> # gopher
>acl Safe_ports port 210
># wais
>acl Safe_ports port 1025-65535 # unregistered ports
>acl Safe_ports port 280
># http-mgmt
>acl Safe_ports port 488
># gss-http
>acl Safe_ports port 591
># filemaker
>acl Safe_ports port 777
># multiling http
>acl CONNECT method CONNECT
>
>http_access allow manager localhost
>http_access deny manager
># Deny requests to unknown ports
>#http_access deny !Safe_ports
># Deny CONNECT to other than SSL ports
>#http_access deny CONNECT !SSL_ports
>http_access allow CONNECT
>#http_access deny limited_hosts
>http_access allow localhost
>http_access deny !allowed_hosts
>http_access allow Safe_portsНет. Не то. Я имел в виду вот что:
# TAG: http_port
# Usage: port
# hostname:port
# 1.2.3.4:port>Так вот все равно снаружи кто то коннектился совершенно с других адресов
>
>вырезка из лога
>1033092509.173 31063 204.29.169.110 TCP_MISS/200 500 CONNECT 205.188.156.52:25 - DIRECT/205.188.156.52 -С чем тебя и поздравляю :)
>Какими правилам можно противостоять сканеру портов.
>Что бы при сканировании портов было вроде как хост не отвечает.
>
>И как в частности можно сделать, что бы на внешнем интерфейсе гейта
>не было видно что запущен squid.
sysctl -w net.inet.tcp.blackhole=2
sysctl -w net.inet.udp.blackhole=1
Это превращает машину в черную дыру при попытке подключиться к портам,
которые не слушают. Nmap по настоящему не любит это.___
Good luck