Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2014-04-21 12:53:38
sqrtek - 
Użytkownik
- sqrtek
- Użytkownik
- Skąd: /bin/true
- Zarejestrowany: 2012-06-14
iptables - co do poprawy?
Mam takie pytanie, otóż stworzyłem następujący firewall sobie, i tutaj zastanawia mnie jedna rzecz,
gdy wykonuję skanowanie " nmap -sA " dostaje właściwy wpis w logu z "ACK Scan", ale gdy np. daję "nmap -sF " to w logach dostaję pozycję "Null scan".. tak samo również gdy wpiszę "nmap -sX".. czy dałoby się to jakoś naprawić aby logi miały po prostu prawidłowe wpisy?
Oto kod firewalla:
Kod:
#!/bin/sh iptables -F iptables -X iptables -t nat -X iptables -t nat -F iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT # Ochrona przed atakiem typu Smurf /bin/echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts # Nie akceptujemy pakietów "source route" /bin/echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route # Nie przyjmujemy pakietów ICMP rediect, ktore moga zmienic tablice routingu /bin/echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects # Włączamy ochronę przed błędnymi komunikatami ICMP error /bin/echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses # Włączenie mechanizmu wykrywania oczywistych falszerstw # (pakiety znajdujące się tylko tablicy routingu) /bin/echo 1 > /proc/sys/net/ipv4/tcp_timestamps /bin/echo 1 > /proc/sys/net/ipv4/conf/all/log_martians /bin/echo 10 > /proc/sys/net/ipv4/ipfrag_time /bin/echo 65536 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max /bin/echo 36024 > /proc/sys/net/ipv4/tcp_max_syn_backlog # Blokada przed atakami typu SYN FLOODING /bin/echo 1 > /proc/sys/net/ipv4/tcp_syncookies iptables -A INPUT -m limit --limit 1/s -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j LOG --log-prefix "ACK scan: " iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP iptables -A INPUT -m limit --limit 1/s -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j LOG --log-prefix "FIN scan: " iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP iptables -A INPUT -m limit --limit 1/s -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH PSH -j LOG --log-prefix "Xmas scan: " iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP iptables -A INPUT -m limit --limit 1/s -m conntrack --ctstate INVALID -p tcp ! --tcp-flags SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -j LOG --log-prefix "Null scan: " iptables -A INPUT -m conntrack --ctstate INVALID -p tcp ! --tcp-flags SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -j DROP #iptables -A INPUT -s IP -p tcp --dport 20 -j ACCEPT #iptables -A INPUT -s IP -p tcp --dport 21 -j ACCEPT iptables -A INPUT -p tcp --dport 45 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT iptables -A INPUT -s IP -p tcp --dport 111 -j ACCEPT iptables -A INPUT -s IP -p tcp --dport 25 -j ACCEPT iptables -A INPUT -s IP -p tcp --dport 2049 -j ACCEPT
Oraz pytanie kolejne, czy da się jakoś zablokować również Skanowanie "nmap -sV " oraz co ewentualnie poprawilibyście w tym kodzie?
Z góry dzięki za pomoc.
Ostatnio edytowany przez sqrtek (2014-04-21 12:54:17)
"Nie pozwól by zgiełk opinii innych ludzi, zagłuszył Twój wewnętrzny głos" ~ Steve Jobs
Offline