Аналог scrub in all в linux?

Если я правильно понял - ты про это? От чего нужна защита?

отдельной опции для эмуляции такого поведения нет. Есть TCP syncookies, TCP MSS fix и еще кое-что по-мелочи. А что конкретно ты хочешь от «нормализации пакетов»?

Вот именно про то.

В частности, интересует fragment reassemble и reassemble tcp (Statefully normalizes TCP connections. When using scrub reassemble tcp, a direction (in/out) may not be specified. The following normalizations are performed: Neither side of the connection is allowed to reduce their IP TTL. This is done to protect against an attacker sending a packet such that it reaches the firewall, affects the held state information for the connection, and expires before reaching the destination host. The TTL of all packets is raised to the highest value seen for the connection. Modulate RFC1323 timestamps in TCP packet headers with a random number. This can prevent an observer from deducing the uptime of the host or from guessing how many hosts are behind a NAT gateway)

Защиту хотелось бы получить, в частности, от определения операционной системы (OS detection в nmap) на роутере/хостах, и от определения uptime.

Защиту хотелось бы получить, в частности, от определения операционной системы

Таймауты различных протоколов покрути, Стандартно - 90% незащищенных unix-систем палятся открытым 22 портом(как и 99% виндов - открытыми SMB портами). Ну и естественно измени hello демонов, а то, допустим «Openssh 5.6p1 Debian» кагбе намекает :-)

fragment reassemble и reassemble tcp

ЕМНИП, есть соответсвующие sysctl-опции. Ну и target TCPMSS в iptables(хотя это как-раз наоборот, и больше для транзитного трафика)

от определения uptime

я дурак, объясни мне - как можно определить аптайм машины снаружи. Вариант зайти по ssh и посмотреть - не предлагать :-)

Таймауты различных протоколов покрути,

Самих tcp, udp и icmp («Nmap OS fingerprinting works by sending up to 16 TCP, UDP, and ICMP probes to known open and closed ports of the target machine»), или прикладных?

я дурак, объясни мне - как можно определить аптайм машины снаружи.

«Another bit of extra information enabled by OS detection is a guess at a target's uptime. This uses the TCP timestamp option (RFC 1323) to guess when a machine was last rebooted. The guess can be inaccurate due to the timestamp counter not being initialized to zero or the counter overflowing and wrapping around, so it is printed only in verbose mode. »

Ну и pf scrub faq говорит следующее: «Modulate RFC1323 timestamps in TCP packet headers with a random number. This can prevent an observer from deducing the uptime of the host or from guessing how many hosts are behind a NAT gateway.»

В общем, пошёл читать «LINUX FIREWALLS. Attack Detection and Response with iptables, psad, and fwsnort» by Michael Rash.

Про TCP timestamp не знал, но думаю, что он всё-таки инициализуется случайным значением, хотя я могу ошибаться...

Про таймауты - я имел ввиду именно tcp, udp и icmp, а не прикладных протоколов.

Часть возможностей GrSecurity:
Network Protection (Сетевая защита)

Здесь надо указать опции, отвечающие за генерацию случайных чисел, используемых при работе с TCP/IP-стеком и защиту сокетов.

Lager entropy pools ON – увеличение в два раза пула энтропии, используемой для многих функций Linux и GRSecurity.
Truly random TCP ISN selection ON – использование случайных TCP ISN, взято из OpenBSD.
Randomized IP IDs ON – случайные id пакетов.
Randomized TCP source ports ON – использование случайного порта источника.
Randomized RPC XIDs ON – случайный XID в RCP-запросе.
Socket restrictions OFF – ограничение сокетов.

Не то?

Похоже.

Вы можете описать модель угрозы? Я не совсем понял, нужли Вам миникрировать под винду/линукс, чтобы гебня считала, что у Вас они? Или Вам просто нужно, чтобы сферический хакер в вакууме, прослушивающий канал (?), не мог быстро понять, что у Вас за система? И это сервер или рабочая станция?

Если сервер, то нужно перенастроить на подмену приветствий и информационных сообщений все сетевые демоны.

Или Вам просто нужно, чтобы сферический хакер в вакууме, прослушивающий канал (?), не мог быстро понять, что у Вас за система?

Вот это, плюс возможное(?) определение количества систем за NAT, плюс отсеивание невалидных пакетов (это делается, как я уже понял, sysctl'ами). В общем, хотелось бы получить функциональность, описанную в FAQ по PF (и защиту от перечисленных там угроз) с учётом статеечки. Но, насколько я понял, впрямую в Linux функциональность, предоставляемую в этой части pf, реализовать нельзя.

А зачем Вы так себе мозг трахаете? Если проблема реально проблема, а не очередной приступ паранойи, то поставьте (на виртуалку?) опенбзду и не парьтесь.