iptables防止nmap扫描

注：此文年代久远，且当时笔者未进行完整测试，想要防端口被扫描的，可以观看一下这个开源项目：https://github.com/EtherDream/anti-portscan
本节最后更新于2022.12.1，后续不会再更新了

以下就是一坨X，不用看了，浪费时间。
写在前面，总感觉会影响一些服务的运行，所以这个iptables也不是我想象中的那么好用，也或许是我没琢磨透，以下是我的使用经历

yum install iptables-services iptables-devel  -y
systemctl enable iptables 
vim /etc/sysconfig/iptables

# Generated by iptables-save v1.4.21 on Tue Jul  9 21:09:09 2019
*filter 
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0.0]
-A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j REJECT
-A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j REJECT
-A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j REJECT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT      
//删去上面整行后，22端口虽然扫描不出来，但是ssh也无法进行连接，建议保留并做一个fail2ban策略，文末有相应链接
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
//这样就只会扫描到22，80，443端口，

实测是躲过了nmap的扫描。fail2ban策略

posted @ 2020-11-23 14:40 nihinumbra 阅读(2561) 评论(0) 收藏举报

刷新页面返回顶部

荒，影

是否，你也会偶尔想起我。

iptables防止nmap扫描

公告