URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 63140
[ Назад ]

Исходное сообщение
"Как сделать порт невидимым для nmap?"
Отправлено chainik , 04-Янв-06 22:00

Например, если добавить правило
/usr/sbin/iptables -A INPUT -s ! 192.168.0.0/24 -p tcp --destination-port pop3 -j DROP
, то nmap из нелокальной сети сдает этот порт как filtered
"110/tcp filtered pop3"
Как сделать, чтобы nmap вообще не нашла об этом порте никаких сведений?

Содержание

Как сделать порт невидимым для nmap?,toor99, 00:04 , 05-Янв-06
- Как сделать порт невидимым для nmap?,Den, 11:29 , 05-Янв-06
  - Как сделать порт невидимым для nmap?,Den, 11:36 , 05-Янв-06
- Как сделать порт невидимым для nmap?,Just, 19:32 , 07-Дек-07

Сообщения в этом обсуждении

"Как сделать порт невидимым для nmap?"
Отправлено toor99 , 05-Янв-06 00:04

>Например, если добавить правило
>/usr/sbin/iptables -A INPUT -s ! 192.168.0.0/24 -p tcp --destination-port pop3 -j DROP,
> то nmap из нелокальной сети сдает этот порт как filtered
>"110/tcp filtered pop3"
Потому, что DROP.
>Как сделать, чтобы nmap вообще не нашла об этом порте никаких сведений?
Нужно в ответ возвращать ICMP с кодом "Port Unreachable". То-есть, поставить REJECT вместо DROP, а также посмотреть опцию "--reject-with type" (must be "--reject-with type icmp-port-unreachable").

"Как сделать порт невидимым для nmap?"
Отправлено Den , 05-Янв-06 11:29

#----------------------------#
#      INVALID PACKETS       #
#----------------------------#

function INVALID {
# Drop illegal flag combinations which also prevents most port scanning
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
   $IPT -t mangle -A PREROUTING -i $WANIFACE \
      -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
}
вот так не сканится :)

"Как сделать порт невидимым для nmap?"
Отправлено Den , 05-Янв-06 11:36

В конце еще надо добавить одно правило
$IPT -t mangle -A PREROUTING -m state --state INVALID -j DROP

"Как сделать порт невидимым для nmap?"
Отправлено Just , 07-Дек-07 19:32

>>Например, если добавить правило
>>/usr/sbin/iptables -A INPUT -s ! 192.168.0.0/24 -p tcp --destination-port pop3 -j DROP,
>> то nmap из нелокальной сети сдает этот порт как filtered
>>"110/tcp filtered pop3"
>
>Потому, что DROP.
>
>>Как сделать, чтобы nmap вообще не нашла об этом порте никаких сведений?
/usr/sbin/iptables -A INPUT -s ! 192.168.0.0/24 -p tcp --destination-port pop3 -j REJECT --reject-with tcp-reset