Как закрыть порты от сканера Nmap?

[pravus]

Как лучше закрыть порты от сканера Nmap, при условии что используются дефолтные порты + дополнительные?
Используем VestaCP, fail2ban, iptables...

Хватит ли такого в условиях?

-A INPUT -m conntrack --ctstate INVALID -j DROP
-A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A bad-packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A bad-packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP

 

[Говноед]

закрыть порты от сканера Nmap

Что вы имеете ввиду ? Если порт открыт, то в умелых руках nmap все увидит. Потом ничего не помешает постучаться к вам телнетом, да и не nmapом единым. Перенесите критичные сервисы на нестандартные порты, особенно ssh и(или) разрешите iptables коннект только с определенных ip.

 

[suphler]

Согласен с предыдущим оратором.
Плюс, я бы еще посоветовал посмотреть в сторону port knocking.
Ну и пинги закрыть. nmap по дефолту прекращает сканирование, если не получает ответ на пинг. Но это совсем примитивная защита.
А так да. Перенос стандартных сервисов на нестандартные порты и защита по IP.
Можно еще по GeoIP. Но это стремновато. Есть риск отрезать нужное.

 

[inc0gnit0]

+ можно honey-ports сделать по аналогии с honey pot (как упрощенный вариант port knocking). При сканировании этих портов (популярных но не используемых на этом сервере сервисов - сразу в бан).
И fail2ban по работающим сервисам грамотно настроить.

 

[oxyggen]

Fail2ban + portknoking +mac bind ,

А вообще L2tp ikea vpn и вопрос закрыт

honey-ports

это тоже интересный вариант

 

[prmres]

после установки VestaCP по умолчанию открыты только порты используемых сервисов, 21,25,80 и т.п.
в консоли администрирования vestы есть закладка "firewall" где всё это можно подрегулировать как в вашем конкретном случае нужно
но по умолчанию всё закрыто кроме используемый сервисов,

а перевешивать стандартные сервисы на нестандартные порты это параноя, проще тогда уж сервер выключить - так его точно никто не просканирует и не взломает

 

[Skazhikadyadya]

а перевешивать стандартные сервисы на нестандартные порты это параноя, проще тогда уж сервер выключить - так его точно никто не просканирует и не взломает

Последнее - это вы зря. Перевешивание того же SSH на нестандартный порт даёт в три раза меньше засранные логи ботами, пытающимися подобрать логины/пароли. А если в связке с fail2ban то вообще прекрасно выходит.

 

[prmres]

Последнее - это вы зря. Перевешивание того же SSH на нестандартный порт даёт в три раза меньше засранные логи ботами, пытающимися подобрать логины/пароли. А если в связке с fail2ban то вообще прекрасно выходит.

с SSH согласен конечно, но с другой стороны на нестандартные порты можно не сами сервисы вешать а фоерволом публиковать на нестандартных с редиректом на стандартные

 

[Skazhikadyadya]

с SSH согласен конечно, но с другой стороны на нестандартные порты можно не сами сервисы вешать а фоерволом публиковать на нестандартных с редиректом на стандартные

А в чём разница-то? Ну сделаем редирект, но зачем, когда sshd прекрасно себе и на 6622 порту живёт, например? Я просто вспоминаю весёлые времена, когда заводишь инстанс на амазоне, накатил на него имейдж, заходишь в консоль, фигаксь в логи: уже шарятся по портам и подбирают.

 

[prmres]

А в чём разница-то? Ну сделаем редирект, но зачем, когда sshd прекрасно себе и на 6622 порту живёт, например? Я просто вспоминаю весёлые времена, когда заводишь инстанс на амазоне, накатил на него имейдж, заходишь в консоль, фигаксь в логи: уже шарятся по портам и подбирают.

разница простая - не нужно сервис ковырять, фоерволом можно обойтись
ну и риторический вопрос - где грань между разумной безопасностью и параноей?