Opção

donabuba
(usa Fedora)

Enviado em 04/11/2009 - 08:38h

Abri um tópico sobre como bloquear os port scaners e recebi uma resposta que me pedia para fazer esse conjunto de regras:

$IPTABLES -N SCANNER
$IPTABLES -A SCANNER -j DROP
$IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i $NET -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -i $NET -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -i $NET -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i $NET -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i $NET -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i $NET -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i $NET -j SCANNER

Não sei se eu entendi. Ele pede para que eu uma nova chain SCANNER e tudo que cair nessa chain será dropado. Eu posso, então, mudar "-j SCANNER" por "-j DROP" ?

renato_pacheco
(usa Debian)

Enviado em 04/11/2009 - 09:38h

Até pode, mas vc deve retirar as duas primeiras linhas.