通过iptables 过滤 nmap扫描
2010-08-11
仅仅使用 iptables -j DROP封杀端口,nmap是可以发现的 如下: PORT STATE SERVICE 20/tcp filtered ftp-data 21/tcp filtered ftp 22/tcp open ssh 25/tcp open smtp 80/tcp open http 199/tcp open smux 3306/tcp open mysql
STATE filtered 这样的话,如果黑客在入口端抓包,侦听。那么,通过IP伪装技术可以直接穿透FTP。
那么,我们使用 REJECT 来替代 DROP iptables 使用 REJECT标记,结合** --reject-with tcp-reset **选项,可以是请求连接到一个未被使用的端口。 如下所示: PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 80/tcp open http 199/tcp open smux 3306/tcp open mysql
总结,安全工作从细节做起