LINUX.ORG.RU
решено ФорумAdmin

nginx - послать ответ, как будто порт не прослушивается

 ,


0

1

Например, висит на порту какой-нибудь веб-интерфейс, доступный по секретному адресу 000.000.000.000:1234/sdafdsg. А при прочих условиях нужно делать вид, что на порту ничего нет. Что сервер отвечает, когда на порту ничего нет?

Что сервер отвечает, когда на порту ничего нет?

RST

Открытый - SYN+ACK

Только если ты на порт своей говноCMS выставишь RST, туда хрен какой браузер законнектится.

entefeed ☆☆☆
()

Если тебе надо прикрыть голый зад, но оставить доступ для избранных - делай --reject-with tcp-reset и вайтлисти адреса, с которых пускать. Будет беспалевно.

Но если надо пускать рандомные ойпишники, и при этом тупо спрятаться от сканера, то тут ты и сядешь в лужу.

entefeed ☆☆☆
()

можно отсылать http 444, это наиболее близко к тому что ты хочешь.

примерно так:

location /my-super-puper-secret-url {
 тут все нормально;
}

location / {
return 444;
}

trofk ★★★
()
Ответ на: комментарий от trofk

А порт как торчал так и торчит. Вангую ТС хочет сныкать дырявую CMS от порт-сканнеров.

entefeed ☆☆☆
()
Ответ на: комментарий от beastie

Зашел в тред, чтобы написать это сообщение, а оно уже тут.

winlook38 ★★
()

Это делается с помощью iptables, а не nginx-ом

Harald ★★★★★
()
Ответ на: комментарий от entefeed

Может я чего не понимаю, но если в конфиге указано слушать порты 80 и 81 и не указано слушать порт 8080808, то при обращении к последнему просто никто не ответит. А если указано, то это значит что порт слушается, независимо от ответа. Разве нет?

sin_a ★★★★★
()
Ответ на: комментарий от zolden

Может быть он действительно хочет что бы ему nginx работал как пакетный фильтр. У людей иногда бывают странные желания.

sin_a ★★★★★
()

при прочих условиях нужно делать вид, что на порту ничего нет.

Чтобы узнать адрес, который запрашивает браузер, нужно установить соединение (уже фейл) и получить запрос.

goingUp ★★★★★
()

Нужно отвечать на звонки с незнакомых номеров, но только если звонящий знает секретное слово, а при прочих условиях нужно делать вид что никто не взял трубку.

redixin ★★★★
()

Понял, это невозможно. Всем спасибо)

iamroman
() автор топика
Ответ на: комментарий от beastie

В рамках TCP Fast Open возможно (при начилии TFO cookie).

mix_mix ★★★★★
()
Ответ на: комментарий от redixin

Я делаю вид, что не видел ваш комментарий, потому что в нем есть слово «звонящий»)))

iamroman
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.