Re: Barrar port scans iptables
Pedro Debian wrote:
Olá Pessoal,
Estou fazendo algumas implementações no firewall e uma das
funcionalidade que gostaria de inserir é uma regra para barrar
tentativas de escaneamento de portas externas. Fiz alguns testes
usando módulo recent do iptables mas não tive muito sucesso para
detectar a varredura para todas as portas.
Alguém já fez algum implementação neste sentido?
Obrigado
Abraços
Pedro
Olá Pedro,
Basta colocar no inicio do script as seguintes regras:
# Negar pacotes com bad flags
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j LOG
--log-level alert --log-prefix "FIREWALL: Pkt Invalido! L1: "
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG
--log-level alert --log-prefix "FIREWALL: Pkt Invalido! L2: "
iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j LOG
--log-level alert --log-prefix "FIREWALL: Pkt Invalido! L3: "
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j LOG
--log-level alert --log-prefix "FIREWALL: Pkt Invalido! L4: "
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOG
--log-level alert --log-prefix "FIREWALL: Pkt Invalido! L5: "
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
Ou seja, estas regras vai barrar todas as tentativas de escaneamento de
portas usando as combinações de flags do TCP e ainda vai criar logs das
tentativas com seus respectivos supostos ips atacantes.
Espero ter ajudado.
Rondineli Saad
Reply to: