В предыдущей статье мы говорили о защите от брута SSH средствами Iptables. В этой статье продолжим изучать iptables и рассмотрим один из способов защиты от сканирования портов с помощью iptables.
Еще по теме: Просмотр настройка и изменение iptables Kali Linux
Защита от сканирования портов средствами iptables
Есть несколько способов защититься от сканирования портов с помощью iptables, но это один лучших:
|
1 2 3 4 5 |
iptables -N PORT-PROTECT iptables -A PORT-PROTECT -p tcp --syn -m limit --limit 2000 /hour -j RETURN iptables -A PORT-PROTECT -m limit --limit 200/hour -j LOG --log-prefix "DROPPED Port scan: " iptables -A PORT-PROTECT -j DROP iptables -A INPUT -p tcp --syn -j PORT-PROTECT |
В этом примере мы предполагаем, что у хоста нет веской причины отправлять мне 200 запросов SYN за 1 час, поэтому мы можем использовать это как параметр триггера безопасности. Тем не менее, вы можете изменить это значение по своему усмотрению.
Есть много других вещей, которые вы можете делать с iptables, например, реализовать правила для определенного порта, чтобы удалить заданное правило. Вы можете изучить их и настроить iptables по мере необходимости.
Лучше всего выполнять регулярную проверку iptables, чтобы убедиться, что настройки не были изменены. Распространенной ошибкой является то, что владельцы и админы могут удалить некоторые правила во время устранения неполадок. В этих случаях необходимо исследовать причину этого.
ПОЛЕЗНЫЕ ССЫЛКИ:
Могли бы объяснить подробнее:
iptables -N PORT-PROTECT
iptables -A PORT-PROTECT -p tcp —syn -m limit —limit 2000 /hour -j RETURN
iptables -A PORT-PROTECT -m limit —limit 200/hour -j LOG —log-prefix «DROPPED Port scan: »
iptables -A PORT-PROTECT -j DROP
iptables -A INPUT -p tcp —syn -j PORT-PROTECT
пакет приходит в цепочку INPUT, если это установка соединения, пакет уходит в цепочку PORT-PROTECT:
устанавливается ограничение 200 новых запросов на установку соединения в час:
iptables -A PORT-PROTECT -p tcp —syn -m limit —limit 2000 /hour -j RETURN
тут стоит 2000 с пробелом (я так понимаю опечатка) и RETURN — возвращаемся в цепочку INPUT
если больше запросов на установку новых соединений — логирование и сброс:
iptables -A PORT-PROTECT -m limit —limit 200/hour -j LOG —log-prefix «DROPPED Port scan: »
iptables -A PORT-PROTECT -j DROP
верно я рассписал?