iptables 規則和埠掃描器阻塞

為了阻止 Linux 上的埠掃描器，我在 iptables 上找到了一些規則來阻止攻擊者 IP 地址。這些規則正常工作，它阻止了攻擊者，並將攻擊者的 IP 地址記錄在 kernel.log 文件中。問題是，為什麼這些規則會阻塞 TCP 埠 139(net-bios) 埠，以阻止攻擊者？我已經完成了流量擷取，沒有證據表明nmap使用 TCP 上的埠 139 開始埠掃描。

iptables -A INPUT -m recent --name portscan --rcheck --seconds 86400    -j DROP 
iptables -A FORWARD -m recent --name portscan --rcheck --seconds 86400 -j DROP

iptables -A INPUT -m recent --name portscan --remove
iptables -A FORWARD -m recent --name portscan --remove



iptables -A INPUT -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "portscan:"
iptables -A INPUT -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP
iptables -A FORWARD -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "portscan:"
iptables -A FORWARD -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP

Netbios是 LAN 協議，而不是 WAN 協議，面向網際網路的系統上該埠上的流量幾乎總是可疑/無效。

因此，此類流量可用作遠端系統正在探測您的 Internet 伺服器上的隨機埠的*指示。*在我看來，一個無效埠上的流量等於埠掃描的邏輯有點缺陷。

引用自：https://serverfault.com/questions/941952