= Сообщение: 9937 из 10753 ===================================== RU.UNIX.BSD = От : Eugene Grosbein 2:5006/1 15 Sep 20 04:58:19 Кому : Ruslan Suleimanov 15 Sep 20 04:58:19 Тема : Re: SYN Stealth Scan FGHI : area://RU.UNIX.BSD?msgid=grosbein.net+3a22b8ea На : area://RU.UNIX.BSD?msgid=2:467/888+5f5fd593 = Кодировка сообщения определена как: IBM866 ================================= Ответ: area://RU.UNIX.BSD?msgid=2:467/888+5f610be8 ============================================================================== 14 сент. 2020, понедельник, в 23:37 NOVT, Ruslan Suleimanov написал(а): RS> # Запрет X-сканирования: RS> add 1001 reject log tcp from any to any tcpflags fin, syn, rst, psh, RS> ack, urg RS> # Запрет N-сканирования: RS> add 1002 reject log tcp from any to any tcpflags !fin, !syn, !rst, RS> !psh, !ack, !urg RS> # Запрет FIN-сканирования: RS> add 1003 reject log tcp from any to any not established tcpflags fin
Чушь полная. Ты на своей стороне не можешь запретить сканировать себя никаким образом. Самое большое, что ты можешь сделать, это дропнуть входящие пакеты после того, как они *УЖЕ* пришли к тебе, но это вовсе не правило reject log tcp - хуже "решения" и придумать сложно, потому что оно мало того что шлет TCP RST в ответ, потенциально заставляя твою систему флудить невинную жертву по подставленному адресу источника, но ещё и нагружает твой CPU бессмысленной генерацией логов.
А дропнуть бессмысленный входящий флуд ядро может само без всякого файрвола, тем более что чем больше правил в файрволе, тем больше нагрузка на обработку этих правил.
Открой для себя sysctl net.inet.tcp.blackhole и sysctl net.inet.udp.blackhole, а так же подумай, почему они не включены по умолчанию.
Если очень зудит, можешь попробовать использовать что то типа такого в /etc/sysctl.conf для маршрутизатора, который не предоставляет никаких сервисов сам на четвертом уровне TCP/IP (ssh не в счёт):
Hа современной FreeBSD 11 это обламывает nmap со сканированием и tcp-stack fingerpringint (удалённым определением OS), но это нельзя использовать на серверах с активным использованием TCP типа веб-прокси, почтовых серверах и прочих.