またまたポートスキャンの話でなんだが、今度は12.43.53.196のアドレスから延々とポートスキャンがかかっている。19日の14時頃から先ほどまでに388回もかけられているので、もううんざり。
ということでLinuxでRouterを作る – iptablesの設定というページを参考にiptablesの設定に追加ルールを加えてみた。
加えたルール
#—ステルススキャン対策
# Halfopen scan
/sbin/iptables -N hopen-scan
/sbin/iptables -A hopen-scan -m limit –limit 1/s –limit-burst 4 -j RETURN
/sbin/iptables -A hopen-scan -j DROP
/sbin/iptables -A INPUT -p tcp –tcp-flags SYN,ACK,FIN,RST RST -j hopen-scan
/sbin/iptables -A FORWARD -p tcp –tcp-flags SYN,ACK,FIN,RST RST -j hopen-scan
# Stealth scan
/sbin/iptables -N stealth-scan
/sbin/iptables -A stealth-scan -j DROP
/sbin/iptables -A INPUT -p tcp ! –syn -m state –state NEW -j stealth-scan
/sbin/iptables -A FORWARD -p tcp ! –syn -m state –state NEW -j stealth-scan
# Halfopen scan
/sbin/iptables -N hopen-scan
/sbin/iptables -A hopen-scan -m limit –limit 1/s –limit-burst 4 -j RETURN
/sbin/iptables -A hopen-scan -j DROP
/sbin/iptables -A INPUT -p tcp –tcp-flags SYN,ACK,FIN,RST RST -j hopen-scan
/sbin/iptables -A FORWARD -p tcp –tcp-flags SYN,ACK,FIN,RST RST -j hopen-scan
# Stealth scan
/sbin/iptables -N stealth-scan
/sbin/iptables -A stealth-scan -j DROP
/sbin/iptables -A INPUT -p tcp ! –syn -m state –state NEW -j stealth-scan
/sbin/iptables -A FORWARD -p tcp ! –syn -m state –state NEW -j stealth-scan
いやぁ、よくわかんないけどうまくいってるのかなぁ。対策後ポートスキャンがぴたっと止まった。やってみるもんだな。と思ったのはまたまた俺の勘違い。ポートスキャン延々と続いております。なんなんだよオマエ(T_T) 。ハーフスキャンを完全に拒否することって出来ないのかなぁ?