nginx - послать ответ, как будто порт не прослушивается

0

1

Например, висит на порту какой-нибудь веб-интерфейс, доступный по секретному адресу 000.000.000.000:1234/sdafdsg. А при прочих условиях нужно делать вид, что на порту ничего нет. Что сервер отвечает, когда на порту ничего нет?

Ссылка

←	Системы управления конфигами

Xen 4.4.1-3: KeyError: '.text.asm./tmp/yaourt-tmp-yar/aur-xen/src/xen-4.4.1/tools/firmware/seabios-dir-remote/src/smp.c.75'

→

Тебе хочется странного и в рамках TCP невозможного.

beastie ★★★★★
(04.02.15 15:35:27 MSK)

Что сервер отвечает, когда на порту ничего нет?

RST

Открытый - SYN+ACK

Только если ты на порт своей говноCMS выставишь RST, туда хрен какой браузер законнектится.

~~entefeed~~ ☆☆☆
(04.02.15 15:37:22 MSK)

Ссылка

Если тебе надо прикрыть голый зад, но оставить доступ для избранных - делай --reject-with tcp-reset и вайтлисти адреса, с которых пускать. Будет беспалевно.

Но если надо пускать рандомные ойпишники, и при этом тупо спрятаться от сканера, то тут ты и сядешь в лужу.

~~entefeed~~ ☆☆☆
(04.02.15 15:51:07 MSK)

можно отсылать http 444, это наиболее близко к тому что ты хочешь.

примерно так:

location /my-super-puper-secret-url {
 тут все нормально;
}

location / {
return 444;
}

trofk ★★★
(04.02.15 15:52:18 MSK)

Ответ на: комментарий от trofk 04.02.15 15:52:18 MSK

А порт как торчал так и торчит. Вангую ТС хочет сныкать дырявую CMS от порт-сканнеров.

~~entefeed~~ ☆☆☆
(04.02.15 15:53:24 MSK)

Ссылка

Ответ на: комментарий от entefeed 04.02.15 15:51:07 MSK

Можно ещё через port knocking замутить — но это уже для совсем укуренных параноиков.

beastie ★★★★★
(04.02.15 16:04:14 MSK)

Ответ на: комментарий от beastie 04.02.15 16:04:14 MSK

Зашел в тред, чтобы написать это сообщение, а оно уже тут.

winlook38 ★★
(04.02.15 16:09:06 MSK)

Ссылка

Что сервер отвечает, когда на порту ничего нет?

Не отвечает.

sin_a ★★★★★
(04.02.15 16:10:08 MSK)

Это делается с помощью iptables, а не nginx-ом

Harald ★★★★★
(04.02.15 16:12:07 MSK)

Ссылка

Ответ на: комментарий от sin_a 04.02.15 16:10:08 MSK

Зачем ты врешь Роме?

~~entefeed~~ ☆☆☆
(04.02.15 16:12:14 MSK)

Ответ на: комментарий от entefeed 04.02.15 16:12:14 MSK

Может я чего не понимаю, но если в конфиге указано слушать порты 80 и 81 и не указано слушать порт 8080808, то при обращении к последнему просто никто не ответит. А если указано, то это значит что порт слушается, независимо от ответа. Разве нет?

sin_a ★★★★★
(04.02.15 16:16:49 MSK)

Ответ на: комментарий от sin_a 04.02.15 16:16:49 MSK

прозреваю он имел в виду ответ не на L7

zolden ★★★★★
(04.02.15 16:20:59 MSK)

Ответ на: комментарий от zolden 04.02.15 16:20:59 MSK

Может быть он действительно хочет что бы ему nginx работал как пакетный фильтр. У людей иногда бывают странные желания.

sin_a ★★★★★
(04.02.15 16:24:33 MSK)

Ссылка

при прочих условиях нужно делать вид, что на порту ничего нет.

Чтобы узнать адрес, который запрашивает браузер, нужно установить соединение (уже фейл) и получить запрос.

goingUp ★★★★★
(04.02.15 16:24:49 MSK)

Ссылка

Нужно отвечать на звонки с незнакомых номеров, но только если звонящий знает секретное слово, а при прочих условиях нужно делать вид что никто не взял трубку.

redixin ★★★★
(04.02.15 16:28:58 MSK)