Responder 
 
Avaliação do Tópico:
  • 0 Votos - 0 Média
  • 1
  • 2
  • 3
  • 4
  • 5
Bloquear Nmap, ajuda.
11/01/2011, 15:54
Resposta: #1
Bloquear Nmap, ajuda.
Boa tarde.

preciso de uma ajuda com Iptables para bloquear o escaneamento do Nmap, para não listar as minhas portas abertas no servidor, me firewall atual é esse:

#!/bin/bash
#Bruno Contin
##### carregar modulos
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE

##### Zera regras
iptables -F

########### LOGS ######################
iptables -t nat -A PREROUTING -p tcp --dport 10000 -j LOG --log-prefix "webmin: "
iptables -t nat -A PREROUTING -p tcp --dport 3394 -j LOG --log-prefix "Servico SSH: "

##### Filtros - DROP nos pacotes TCP indesejaveis
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-level 6 --log-prefix "FIREWALL: NEW sem syn: "
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP

############## Brute Force ############
iptables -A INPUT -p tcp --syn --dport 3394 -m recent --name sshattack --set
iptables -A INPUT -p tcp --dport 3394 --syn -m recent --name sshattack --rcheck --seconds 60 --hitcount 3 -j LOG --log-prefix 'SSH REJECT: '
iptables -A INPUT -p tcp --dport 3394 --syn -m recent --name sshattack --rcheck --seconds 60 --hitcount 3 -j REJECT --reject-with tcp-reset
iptables -A FORWARD -p tcp --syn --dport 3394 -m recent --name sshattack --set
iptables -A FORWARD -p tcp --dport 3394 --syn -m recent --name sshattack --rcheck --seconds 60 --hitcount 3 -j LOG --log-prefix 'SSH REJECT: '
iptables -A FORWARD -p tcp --dport 3394 --syn -m recent --name sshattack --rcheck --seconds 60 --hitcount 3 -j REJECT --reject-with tcp-reset

iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

#echo Bloqueando contra "Scanners avançados nmap"
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK, FIN, -m limit --limit 1/s -j ACCEPT

#echo "Bloqueando ataque DoS"
iptables -A FORWARD -p TCP --syn -j DROP

############## SYN-flood ############
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

############## ping da morte ########
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

######## anomalias de pacotes #######
#iptables -A FORWARD -m unclean -j DROP

# Protecao contra port scanners ocultos
iptables -A INPUT -s 0.0.0.0/0 -p icmp -j DROP

#Proteção contra Syn-floods
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

iptables -t mangle -I INPUT -m ttl --ttl-lt 20 -j DROP
iptables -t mangle -I FORWARD -m ttl --ttl-lt 20 -j DROP



Não quero bloquear nenhuma porta ou serviço e sim ficar invisível para o Nmap.
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
12/01/2011, 10:08
Resposta: #2
Re: Bloquear Nmap, ajuda.
Olá Bruno,

O Nmap é uma ferramenta em que podemos enganar os firewalls com muita facilidade, você até pode fazer este bloqueio pelo iptables, mas creio que não durará muito tempo. O ideal é utilizar o snort para este fim, pois trata-se de um software que tem também funções específicas para detecção de port-scan.
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
17/01/2011, 20:51
Resposta: #3
Re: Bloquear Nmap, ajuda.
Sim Spikey, mais estou tendo muitos problemas, com ataques DDos, se eu conseguisse pelo menos manter-me anônimo, ajudaria.
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
18/01/2011, 12:24
Resposta: #4
Re: Bloquear Nmap, ajuda.
Use o PSAD (Port Scan Attack Detector). É bastante simples de se configurar, e é funcional. No site Viva o Linux você encontra um artigo sobre ele. Procure por lá.

----------------------------------------------
rm-rf /* says: Do you is a root ?
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
19/01/2011, 07:16
Resposta: #5
Re: Bloquear Nmap, ajuda.
Seu servidor aceita icmp? Pode bloquear isso também para ver se ajuda.
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
Responder 


Ir ao Fórum:


Usuários visualizando este tópico: 1 Visitantes

Entre em Contato | Fórum Debian | Voltar ao Topo | Voltar ao Conteúdo | Modo Leve (Arquivo) | Feeds RSS