Linux

iptables 規則和埠掃描器阻塞

  • November 28, 2018

為了阻止 Linux 上的埠掃描器,我在 iptables 上找到了一些規則來阻止攻擊者 IP 地址。這些規則正常工作,它阻止了攻擊者,並將攻擊者的 IP 地址記錄在 kernel.log 文件中。問題是,為什麼這些規則會阻塞 TCP 埠 139(net-bios) 埠,以阻止攻擊者?我已經完成了流量擷取,沒有證據表明nmap使用 TCP 上的埠 139 開始埠掃描。

iptables -A INPUT -m recent --name portscan --rcheck --seconds 86400    -j DROP 
iptables -A FORWARD -m recent --name portscan --rcheck --seconds 86400 -j DROP

iptables -A INPUT -m recent --name portscan --remove
iptables -A FORWARD -m recent --name portscan --remove



iptables -A INPUT -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "portscan:"
iptables -A INPUT -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP
iptables -A FORWARD -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "portscan:"
iptables -A FORWARD -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP

Netbios是 LAN 協議,而不是 WAN 協議,面向網際網路的系統上該埠上的流量幾乎總是可疑/無效。

因此,此類流量可用作遠端系統正在探測您的 Internet 伺服器上的隨機埠的*指示。*在我看來,一個無效埠上的流量等於埠掃描的邏輯有點缺陷。

引用自:https://serverfault.com/questions/941952