LINUX.ORG.RU

Супротив скана.


0

0

Вот тут где то пробегала строка с правилом для iptables что бы гасить скан от nmap'a и иже с ним. Вот только не могу вспомнит как тема называлась да и искать среди сотни ссылок гиморно, может кто подскажет её, только не бейте ногами, больно же :)

Заранее спасибо!!!

★★★★★

Re: Супротив скана.

резать new-not-syn.

см. в tutorial

fagot ★★★★★ ()

Re: Супротив скана.

-j REJECT --reject-with icmp-port-unreachable

sasha999 ★★★★ ()

Re: Супротив скана.

path-o-matic - www.netfilter.org
модуль называется psd (port scan detector).
на практике выглядит так: iptables -I INPUT -m psd -j DROP

Cosmicman ★★ ()
Ответ на: Re: Супротив скана. от Cosmicman

Re: Re: Супротив скана.

этот PSD сильно замедляет работу?

anonymous ()
Ответ на: Re: Re: Супротив скана. от anonymous

Re: Re: Re: Супротив скана.

> этот PSD сильно замедляет работу?

когда в ядро начинают пихать всякое дерьмо, которого там быть
не должно... верно -- ждите глюков.

я бы вам посоветовал использовать scanlogd, snort, возможно
что-то еще, что анализирует их логи...

signal11 ()
Ответ на: Re: Re: Re: Супротив скана. от signal11

Re: Re: Re: Re: Супротив скана.

>когда в ядро начинают пихать всякое дерьмо

ну не всякое дерьмо, а модуль для firewall... разницу чуете? :)
судя по вашей логике, firewall это дерьмо, которого в ядре быть не должно :)

Cosmicman ★★ ()
Ответ на: Re: Re: Супротив скана. от anonymous

Re: Re: Re: Супротив скана.

>этот PSD сильно замедляет работу?

наш небольшой вебсервер держит в среднем 200 одновременных коннектов. нагрузка system cpu что с PSD, что без него - практически одинаковая...

Cosmicman ★★ ()
Ответ на: Re: Re: Re: Re: Супротив скана. от Cosmicman

Re: Re: Re: Re: Re: Супротив скана.

> ну не всякое дерьмо, а модуль для firewall... разницу чуете? :)

я то как раз чую... что элемент NIDS пихать в ядро -- херовое занятие..

> судя по вашей логике

не судите по моей логике. судите по своей.

signal11 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.