Все потоки
Поиск
Написать публикацию
Обновить

Комментарии 44

ефективним — одно слово, три ошибки
Рейтинг скрыт
Хорошо хоть не «душ»
Рейтинг скрыт
у автора ник говорящий
Рейтинг скрыт
За размер лога не боитесь? Думаю крупный ботнет быстро заполнит свободное место на венике.
Рейтинг скрыт
logrotate?
Рейтинг скрыт
Само собой.
Я имел ввиду что не целесообразно писать в лог. Будет достаточно DROP'a.
Рейтинг скрыт
файервол без логов — практически бесполезная вещь. Уж то, что запрещает файервол, должно логироваться однозначно. Разрешенный трафик не нужно логировать, это да.
Рейтинг скрыт
последний deny all тоже логируете? Если логировать, то правилами
Рейтинг скрыт
Да, логи обязательны, разумеется. И на каждый портскан — несимметричный ответ от своего собственного ботнета.
Рейтинг скрыт
Это верно,

iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -m limit --limit 5/min -j LOG --log-prefix «Stealth scan»
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -m limit --limit 5/min -j DROP
Рейтинг скрыт
Извиняюсь за ошибки так как нерусский я. Такая вероятнось ничтожна, никто небудет тратить время на забивание места на харде.К тому же для етого существуют более оригинальные способы.
Рейтинг скрыт
Ух ты, Украинцы забыли русский?
Рейтинг скрыт
Кто говорит что я с Украины? Вы до сих пор верите всему что пишут в анкетах?
Рейтинг скрыт
По крайней мере на хабре — да.
Рейтинг скрыт
Никогда не понимал практики параноидальных фаирволов. Некоторые вообще любят ICMP блокировать.
Рейтинг скрыт
А зачем нужны ICMP кроме type 8 и type 13 при типичной сети? Можно ещё и type 30 использовать (чисто для traceroute), но далеко не обязательно — tracepath или mtr используют type 8
Рейтинг скрыт
я думаю, человек имел в виду, что многие запрещают echo-request/reply, а это да, гадская привычка.
Рейтинг скрыт
Ну это всё равно, что сказать «запрещают TCP-трафик», имея в виду только веб и почту.
Рейтинг скрыт
увы, для многих пинг == icmp
Рейтинг скрыт
НЛО прилетело и опубликовало эту надпись здесь
а мне-то откуда знать? проверьте сами, мне негде, не пользуюсь. Если так — передайте Баллмеру горячий удар в печень. Два раза.
Хотя на десктопах это не так уж страшно, плохо когда на маршрутизаторах и серверах так делают.
Рейтинг скрыт
НЛО прилетело и опубликовало эту надпись здесь
И все же живой человек сможет ваши порты просканировать незаметно =). Вы закрыли только одну из некоторого количества лазеек ;). Наверняка в ваш лог не упадет запись про сканирование с флагами -sS -sN и некоторых других видов скана =).

В жизни довольно мало ситуаций, когда требуется подобные меры.
Рейтинг скрыт
Неспорю с вами ето так… но я показал самую распостраненную лазейку.Сканирование же с флагами -sS -sN, да их пишут не все системы журналирования.Но это отнюдь не означает, что их невозможно отследить!
Но вообще конечно подобные меры крайне редки.
Рейтинг скрыт
Заголовок статьи говорит, о том, что вы расскажете как же защититься совсем. А на деле же оказывается, что тема не раскрыта даже на 30%.
Рейтинг скрыт
Для всех сканеров есть 1 правило — стук ниже 20 порта — бан, на определённое время.
Рейтинг скрыт
а какой идиот сканит порты ниже 20го?
Рейтинг скрыт
Коментируем граждане что ненравится в заметке моей, ато вижу минуса лупят непонятно за что… то у вас за мода такая, поставил так прокоментируй!
Рейтинг скрыт
Андрей, нужно ещё наклепать и правил, как недопустить упомянутые сканы при -sS -sN. ну и не совсем понятно / плохо описанно, что означают поставленые в примере флаги. особенно замудренно и запутанно предложение «Первый список состояний (ACK,FIN) перечисляет тестируемые флаги, второй (FIN) – те из них, что установлены.»
Рейтинг скрыт
Я думаю, уже можно перенести в тематический блог =)
Рейтинг скрыт
У вас недостаточно кармы… пока немогу)
Рейтинг скрыт
НЛО прилетело и опубликовало эту надпись здесь
Ну к fail2ban'у можно и своих фильтров, при желании, понарисовывать. По своей сути очень неплохая тулза.
Рейтинг скрыт
Автору: а ещё есть
-A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP 
-A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP 
-A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP 
-A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP 
-A bad-packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP 
-A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
Параноидально-же настроенным гражданам можно ещё про recent и connlimit почитать.
Не мешает где-то в самом начале ещё и
-A INPUT -m conntrack --ctstate INVALID -j DROP
нарисовать.
А вообще паранойи должно быть в меру, не стоит слишком уж переусердствовать.
Рейтинг скрыт
параноидальным гражданам стоит сразу кабель отрезать и быть в безопаности ^__^
Рейтинг скрыт
А что плохого такого опасного в сканировании портов? Это безопасность через незнание или что-то еще?
Рейтинг скрыт
может и опасности никакой, шутник просто, а может кто то проверяет твои порты для того что бы подключится к тебе для незаконных целей и кражи инфы.
Рейтинг скрыт
Ну вот открыт у меня порт ssh. И авторизация по ключу =). Есть ли смысл от того, что вы узнаете, что у меня открыт 22 порт?
Рейтинг скрыт
А почему бы не сделать просто
-A INPUT -m conntrack --ctstate NEW -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP (или -j logdrop, если нравится)?
Рейтинг скрыт
Если кто-то с вашего сервера делает сканирование портов, отличное от nmap -sT, то ваша идея с фильтром идёт лесом, поскольку для stealth (SYN) и прочих экзотических видов сканирования уже требуются права рута. Got root — значит могут «поиметь» и всё остальное, включая правила фаерволла.
Рейтинг скрыт
НЛО прилетело и опубликовало эту надпись здесь
очень интерисует аналогичное для ipfw
Рейтинг скрыт
написал бы… да уже немогу)
Рейтинг скрыт
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2026, Habr