Задать вопрос
miruss
@miruss

Как запретить сканить порты пользователям сети за роутером?

Подскажите пожалуйста, есть маршрутизатор на Debian, можно запретить как то через фаервол или другими средствами, чтобы юзеры не сканили порты белых ip?
  • Вопрос задан
  • 4076 просмотров
Подписаться 2 Оценить 2 комментария
Пригласить эксперта
Ответы на вопрос 2
Gromobanan777
@Gromobanan777
Self-employed professional
Нет.

Можете защитить от прощупывания конкретную машину:
iptables -A INPUT -p icmp --icmp-type timestamp-request -j DROP
iptables -L -v -n

Есть ещё статья на Хабре.
Ответ написан
Комментировать
@throughtheether
human after all
В общем случае, нет. Вы можете, конечно, блокировать SYN-сегменты при обнаружении признаков сканирования (линейно возрастающий номер порта назначения, например), но пользователь может начать сканировать порты в случайном или псевдослучайном порядке. Вы можете заблокировать SYN-сегменты совсем, но тогда TCP работать не будет.
Кроме того, немного непонятно, чего вы хотите добиться. Какая вам разница, сканирует кого-то пользователь или нет? Если он занимается нелегальной активностью - это дело органов внутренних дел. Если проблема в "письмах счастья" ("вы нас сканируете, прекратите") - в большинстве случаев это автоматические сгенерированные различными IDS письма, смысла в них немного. В крайнем случае вы можете блокировать наиболее активных "нарушителей".
В моем представлении, если кому-то не нравится, что его сканируют, ему же гораздо проще технически самому защитить свой сервер. Хотя я считаю это одним из проявлений подхода "security through obscurity". Если вы (или условный провайдер) начнете пытаться фильтровать такой трафик, это будет или неэффективно, или обладать негативными побочными эффектами.
Вы можете, и это настоятельно рекомендуется, фильтровать трафик с целью запретить спуфинг, т.е. подделку адресов источника, это гораздо проще и гораздо полезнее.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы