원하지 않는 포트가 필터링 된 것으로보고되지 않도록 iptables를 구성하는 방법

9

nmap 표준 스캔 (권한 없음)으로 필터링 된 다른 사용자가 내 포트를 보지 못하게하고 싶습니다. 22, 3306, 995 포트와 이와 같이 구성된 방화벽이 열려 있다고 가정 해 보겠습니다.

-A INPUT -p tcp -m tcp --dport 22 -j DROP
-A INPUT -p tcp -m tcp --dport 3306 -j DROP
-A INPUT -p tcp -m tcp --dport 995 -j DROP

이것은 nmap 스캔의 결과입니다.

[+] Nmap scan report for X.X.X.X

    Host is up (0.040s latency).
    Not shown: 90 closed ports

    PORT     STATE    SERVICE
    22/tcp   filtered ssh
    995/tcp  filtered pop3s
    3306/tcp filtered mysql

서버가 SYN에 대해 RST 응답하지 않기 때문에 이러한 포트가 필터링 된 것으로 표시됩니다. 이 동작을 수정하는 방법이 있습니까? 예를 들어 : iptables 방화벽이 포트를 차단하면 아무 것도 응답하지 않고 침묵하지 않고 SYN에 대해 RST로 응답 하시겠습니까?

linux  security  iptables  tcp  tcpip 
사용자
소스

답변:

18

상자가 작동중인 경우 DROP을 사용하지 마십시오. "필터링 된"것으로 쉽게 식별됩니다. 대신 다음을 사용하여 RST를 보낼 수 있습니다. (서비스 수신 대기가 있지만 연결을 허용하지 않는 것처럼)

-A INPUT -p tcp -m tcp --dport 22 -j REJECT --reject-with tcp-reset

또는 다음을 사용하여 포트를 닫은 것처럼 보이게합니다. (들어오는 서비스가없는 것처럼)

-A INPUT -p tcp -m tcp --dport 22 -j REJECT
요 나네
소스
9 
-A INPUT -p tcp -m tcp --dport 995 -j REJECT --reject-with tcp-reset

원하는 것을하고 있어야합니다 (RST로 답장).

스벤
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.