仅仅使用 iptables -j DROP封杀端口,nmap是可以发现的 如下: PORT     STATE    SERVICE 20/tcp filtered ftp-data 21/tcp   filtered ftp 22/tcp   open     ssh 25/tcp   open smtp 80/tcp   open     http 199/tcp  open     smux 3306/tcp open     mysql

STATE filtered 这样的话,如果黑客在入口端抓包,侦听。那么,通过IP伪装技术可以直接穿透FTP。

那么,我们使用 REJECT 来替代 DROP iptables 使用 REJECT标记,结合--reject-with tcp-reset选项,可以是请求连接到一个未被使用的端口。 如下所示: PORT     STATE SERVICE 22/tcp   open  ssh 25/tcp open  smtp 80/tcp   open  http 199/tcp  open  smux 3306/tcp open  mysql

总结,安全工作从细节做起