Я просто настроил свой iptables с политикой ОТБРАСЫВАНИЯ:
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP
-N fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
-A FORWARD -p udp -m limit --limit 1/sec -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 123 -j ACCEPT
-A fail2ban-ssh -s 115.231.222.176/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -j RETURN
Но то, когда я выполняю nmap, многие портируют, остается открытым:
PORT STATE SERVICE
1/tcp open tcpmux
22/tcp open ssh
25/tcp open smtp
79/tcp open finger
80/tcp open http
111/tcp open rpcbind
119/tcp open nntp
143/tcp open imap
443/tcp open https
1080/tcp open socks
1524/tcp open ingreslock
2000/tcp open cisco-sccp
6667/tcp open irc
12345/tcp open netbus
31337/tcp open Elite
32771/tcp open sometimes-rpc5
32772/tcp open sometimes-rpc7
32773/tcp open sometimes-rpc9
32774/tcp open sometimes-rpc11
Какая-либо идея, почему? Это представляет нарушение защиты?
Iptables воздействует на входящие или исходящие пакеты путем соответствия пакету против ряда правил Iptables. Это ничего не должно делать с тем, открыт ли порт или нет.
, Если ssh
трафик заблокирован через следующее правило в iptables
,
-A INPUT -i eth0 -p tcp --dport 22 -j DROP
тогда, когда пакет прибывает предназначенный для порта 22, будет отброшен ядром, но Ваш компьютер может, на самом деле слушая на порте 22, потому что SSH
демон работает на порте 22.
Для закрытия порта необходимо остановить сервис, слушающий на том порте. Например, для закрытия порта 22 следующее сделает:
sudo service ssh stop
То же произошло со мной, попытайтесь установить свой компьютер на том же сегменте сети как сервер, рассматриваемое, сканирование портов через маршрутизаторы может дать Вам некоторые ложные результаты.
при выполнении nmap (nmap -v -A yourIP
) от других сегментов сети порты, не открытые, покажут с вопросом (?
):
2000/tcp open cisco-sccp