Как закрыть порты от сканера Nmap?

pravus

Мой дом здесь!
Регистрация
21 Фев 2013
Сообщения
334
Реакции
242
Как лучше закрыть порты от сканера Nmap, при условии что используются дефолтные порты + дополнительные?
Используем VestaCP, fail2ban, iptables...

Хватит ли такого в условиях?
Код:
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A bad-packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
 
закрыть порты от сканера Nmap
Что вы имеете ввиду ? Если порт открыт, то в умелых руках nmap все увидит. Потом ничего не помешает постучаться к вам телнетом, да и не nmapом единым. Перенесите критичные сервисы на нестандартные порты, особенно ssh и(или) разрешите iptables коннект только с определенных ip.
 
Согласен с предыдущим оратором.
Плюс, я бы еще посоветовал посмотреть в сторону port knocking.
Ну и пинги закрыть. nmap по дефолту прекращает сканирование, если не получает ответ на пинг. Но это совсем примитивная защита.
А так да. Перенос стандартных сервисов на нестандартные порты и защита по IP.
Можно еще по GeoIP. Но это стремновато. Есть риск отрезать нужное.
 
+ можно honey-ports сделать по аналогии с honey pot (как упрощенный вариант port knocking). При сканировании этих портов (популярных но не используемых на этом сервере сервисов - сразу в бан).
И fail2ban по работающим сервисам грамотно настроить.
 
  • Заблокирован
  • #6
после установки VestaCP по умолчанию открыты только порты используемых сервисов, 21,25,80 и т.п.
в консоли администрирования vestы есть закладка "firewall" где всё это можно подрегулировать как в вашем конкретном случае нужно
но по умолчанию всё закрыто кроме используемый сервисов,

а перевешивать стандартные сервисы на нестандартные порты это параноя, проще тогда уж сервер выключить - так его точно никто не просканирует и не взломает
 
а перевешивать стандартные сервисы на нестандартные порты это параноя, проще тогда уж сервер выключить - так его точно никто не просканирует и не взломает
Последнее - это вы зря. Перевешивание того же SSH на нестандартный порт даёт в три раза меньше засранные логи ботами, пытающимися подобрать логины/пароли. ;) А если в связке с fail2ban то вообще прекрасно выходит.
 
  • Заблокирован
  • #8
Последнее - это вы зря. Перевешивание того же SSH на нестандартный порт даёт в три раза меньше засранные логи ботами, пытающимися подобрать логины/пароли. ;) А если в связке с fail2ban то вообще прекрасно выходит.
с SSH согласен конечно, но с другой стороны на нестандартные порты можно не сами сервисы вешать а фоерволом публиковать на нестандартных с редиректом на стандартные
 
с SSH согласен конечно, но с другой стороны на нестандартные порты можно не сами сервисы вешать а фоерволом публиковать на нестандартных с редиректом на стандартные
А в чём разница-то? Ну сделаем редирект, но зачем, когда sshd прекрасно себе и на 6622 порту живёт, например? Я просто вспоминаю весёлые времена, когда заводишь инстанс на амазоне, накатил на него имейдж, заходишь в консоль, фигаксь в логи: уже шарятся по портам и подбирают. ;)
 
  • Заблокирован
  • #10
А в чём разница-то? Ну сделаем редирект, но зачем, когда sshd прекрасно себе и на 6622 порту живёт, например? Я просто вспоминаю весёлые времена, когда заводишь инстанс на амазоне, накатил на него имейдж, заходишь в консоль, фигаксь в логи: уже шарятся по портам и подбирают. ;)
разница простая - не нужно сервис ковырять, фоерволом можно обойтись
ну и риторический вопрос - где грань между разумной безопасностью и параноей?
:)
 
Назад
Сверху