iptables vs nmap

[Kreept]

Добрый день.

Подскажите, как с помощью iptables закрыть возможность сканирования портов nmap-ом?

[pelmen]

Добрый день.

Подскажите, как с помощью iptables закрыть возможность сканирования портов nmap-ом?

Что-то такое (пишу на память)
iptables -P INPUT DROP
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

[Kreept]

Добрый день.

Подскажите, как с помощью iptables закрыть возможность сканирования портов nmap-ом?

Что-то такое (пишу на память)
iptables -P INPUT DROP
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

Насколько я понял, нужно прописать:

iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -P INPUT DROP
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

Верно?

Есть ли возможность, не перечисляя все порты как то запретить сканирование?

[serzh-z]

Kreept
Кто сказал такую чушь - про запрет сканирования? Кто мне запретит сделать попытку коннекта к хосту на некоторый порт? Даже если сервер молча дропнет мой, скажем, SYN-пакет, то это уже отрицательный ответ на вопрос "открыт ли порт", поставленный сканером в процессе сканирования. ;)

[pelmen]

Есть ли возможность, не перечисляя все порты как то запретить сканирование?

бить по рукам

[Kreept]

Kreept
Кто сказал такую чушь - про запрет сканирования? Кто мне запретит сделать попытку коннекта к хосту на некоторый порт? Даже если сервер молча дропнет мой, скажем, SYN-пакет, то это уже отрицательный ответ на вопрос "открыт ли порт", поставленный сканером в процессе сканирования.

Запретить никто не сможет, задача стоит закрыть сканирование nmap-ом, что бы nmap не отдавал результат какой сервис на каком порту висит.

бить по рукам

[DSS]

Запретить никто не сможет, задача стоит закрыть сканирование nmap-ом, что бы nmap не отдавал результат какой сервис на каком порту висит.

Никак.
От умного сканирования из сети, где есть клиенты Вашего сервера, защититься нельзя. Ни фаерволлом, ни детектором атак.
Например, пробежаться по well known портам в случайном порядке с приличной паузой между каждым коннектом - ни одна собака даже не гавкнет.
Можно только баннеры в демоне переписать, чтобы ввести в заблуждение сканирующего.

[Kreept]

Запретить никто не сможет, задача стоит закрыть сканирование nmap-ом, что бы nmap не отдавал результат какой сервис на каком порту висит.

Никак.
От умного сканирования из сети, где есть клиенты Вашего сервера, защититься нельзя. Ни фаерволлом, ни детектором атак.
Например, пробежаться по well known портам в случайном порядке с приличной паузой между каждым коннектом - ни одна собака даже не гавкнет.
Можно только баннеры в демоне переписать, чтобы ввести в заблуждение сканирующего.

Спасибо, не подскажите как переписать баннер?

[pelmen]

Можно защититься от сканирования в ущерб удобству. Искать в гугле port knocking. Если ничего не поймете - пишите, я объясню.

[DSS]

Спасибо, не подскажите как переписать баннер?

Зависит от сервиса.
Обычно - править исходник.
Хотя некоторые позволяют задать строку баннера.

[Kreept]

Можно защититься от сканирования в ущерб удобству. Искать в гугле port knocking. Если ничего не поймете - пишите, я объясню.

Про port knocking приходилось слышать, даже использовал knock. Просто я думал что есть альтернативный вариант с использованием стандартных средств iptables, думал в сторону TARPIT-а, вроде как данная опция позволяет создавать ловушки, которые не позволят просканировать порты.

Спасибо, не подскажите как переписать баннер?

Зависит от сервиса.
Обычно - править исходник.
Хотя некоторые позволяют задать строку баннера.

Не подскажите, что именно нужно делать для OpenSSH сервиса?

[pelmen]

Не подскажите, что именно нужно делать для OpenSSH сервиса?

Использование port knocking для ssh - как раз очень удобно
Эта связка мне напомнила фразу
«Видишь суслика? — Нет. — И я не вижу. А он есть!» (фильм «ДМБ»)
http://www.youtube.com/watch?v=TEDfTUccGWg

[Kreept]

Не подскажите, что именно нужно делать для OpenSSH сервиса?

Использование port knocking для ssh - как раз очень удобно
Эта связка мне напомнила фразу
«Видишь суслика? — Нет. — И я не вижу. А он есть!» (фильм «ДМБ»)
http://www.youtube.com/watch?v=TEDfTUccGWg

верно отмечено.

Только проблема в том, что еще некоторые пользователи имеют доступ к ssh, а им уж очень сложно будет объяснить как правильно открывать и закрывать порт.

[pelmen]

А я прямо в браузере сделал себе закладку
Открыть - ssh.domain.ru:4567
Закрыть - ssh.domain.ru:4568
Можно вынести на раб стол ярлыками
И все. При этом ссш вешаешь на нестандартный порт, авторизацию только по ключам.

[Kreept]

А я прямо в браузере сделал себе закладку
Открыть - ssh.domain.ru:4567
Закрыть - ssh.domain.ru:4568
Можно вынести на раб стол ярлыками
И все. При этом ссш вешаешь на нестандартный порт, авторизацию только по ключам.

Спасибо за подсказку. Использовать ссылки и один порт интересная идея.