Iptables DROP les scanner de port
Hexoseth
-
Hexoseth -
Hexoseth -
Bonjour,
J'utilise la règle suivante afin de bloquer les scanner de port et ainsi rendre mes ports filtré même s'il sont ouvert.
Y a t-il une meilleur solution que la mienne qui ferai la même?
# Drop les scans de port
$ipt -A INPUT -p tcp -d $serveur -m recent --set
$ipt -A INPUT -p tcp -d $serveur -m state --state NEW -m recent --update --seconds 10 --hitcount 5 -j DROP
Merci
J'utilise la règle suivante afin de bloquer les scanner de port et ainsi rendre mes ports filtré même s'il sont ouvert.
Y a t-il une meilleur solution que la mienne qui ferai la même?
# Drop les scans de port
$ipt -A INPUT -p tcp -d $serveur -m recent --set
$ipt -A INPUT -p tcp -d $serveur -m state --state NEW -m recent --update --seconds 10 --hitcount 5 -j DROP
Merci
A voir également:
- Iptables DROP les scanner de port
- Advanced port scanner - Télécharger - Utilitaires
- Scanner qr code pc - Guide
- Share drop - Télécharger - Téléchargement & Transfert
- Installer scanner - Télécharger - Divers Utilitaires
- Angry ip scanner - Télécharger - Divers Réseau & Wi-Fi
3 réponses
Bonjour,
Il pourrait être intéressant de désactiver l'ICMP dans ton noyau ; afin de bloquer les scans de ports UDP.
Et puis, il y a différentes méthodes de scan pour le TCP.
Le packet envoyé peut être un SYN, mais aussi ACK, FIN, RST, ou autre (ou même sans flag).
Dans ton cas, iptables ne vas bloquer que les scans avec des SYN (appelés TCP SYN scan), car il y a le --state NEW ; Mais ca ne bloquera pas les autres types de scan.
Le mieux est peut-être de tester par toi-même les différentes méthodes de scan via nmap ; et voir le résultat.
Cordialement,
M.
Il pourrait être intéressant de désactiver l'ICMP dans ton noyau ; afin de bloquer les scans de ports UDP.
Et puis, il y a différentes méthodes de scan pour le TCP.
Le packet envoyé peut être un SYN, mais aussi ACK, FIN, RST, ou autre (ou même sans flag).
Dans ton cas, iptables ne vas bloquer que les scans avec des SYN (appelés TCP SYN scan), car il y a le --state NEW ; Mais ca ne bloquera pas les autres types de scan.
Le mieux est peut-être de tester par toi-même les différentes méthodes de scan via nmap ; et voir le résultat.
Cordialement,
M.
salut,
Merci pour l'info sur le state new je ne pensai pas qu'il prennai en compte le SYN pour une nouvelle connexion. Je pensai que c'était général peu importe si il y a des flag ou non.
J'utilise nmap pour vérifier le bon fonctionnement de mes régles. Donc déjà pour que tout type de scan soit pris en compte je supprime le "-state NEW".
Merci pour l'info sur le state new je ne pensai pas qu'il prennai en compte le SYN pour une nouvelle connexion. Je pensai que c'était général peu importe si il y a des flag ou non.
J'utilise nmap pour vérifier le bon fonctionnement de mes régles. Donc déjà pour que tout type de scan soit pris en compte je supprime le "-state NEW".
swed -> je viens de vérifier si "state NEW" utilisait le packet SYN pour identifier une connexion. Et ben non "state NEW" défini bine une nouvelle connexion quelque soit le(les) packet(s) envoyé. Faut tout de même que je test en tentant un scan sans packet mais je pense que sa doit fonctionner.
Cela dit ma solution de rendre les ports filtré même s'il sont ouvert ne fonctionnera pas si le scan test un port particulier.
Cela dit ma solution de rendre les ports filtré même s'il sont ouvert ne fonctionnera pas si le scan test un port particulier.