我想阻止其他人看到我的端口在nmap标准扫描中被过滤(非特权).假设我打开了以下端口:22,3306,995,防火墙配置如下:
-A INPUT -p tcp -m tcp --dport 22 -j DROP -A INPUT -p tcp -m tcp --dport 3306 -j DROP -A INPUT -p tcp -m tcp --dport 995 -j DROP
这是nmap扫描的结果:
[+] Nmap scan report for X.X.X.X Host is up (0.040s latency). Not shown: 90 closed ports PORT STATE SERVICE 22/tcp filtered ssh 995/tcp filtered pop3s 3306/tcp filtered mysql
它将这些端口显示为已过滤,因为我的服务器没有回复SYN的RST.有没有办法修改这种行为?例如:如果iptables防火墙阻止端口,请回复RST的SYN,而不是保持沉默(不回复任何东西)?
解决方法
不要使用DROP,如果您知道该框已启用,则很容易将其识别为“已过滤”.相反,您可以使用以下命令发送RST. (好像有一个服务正在侦听,但它不接受你的连接)
-A INPUT -p tcp -m tcp --dport 22 -j REJECT --reject-with tcp-reset
或者只是使用以下内容使端口看起来关闭. (好像没有收听服务)
-A INPUT -p tcp -m tcp --dport 22 -j REJECT
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。