Как закрыть порт вне но оставить локально?

Question

[historydev]

После дропа порта через iptables я получаю в nmap filtered, а как его полностью убрать, чтобы он не светился?

Я пробовал помимо дропа reject, не уверен что в правильную сторону иду:

PORT     STATE    SERVICE
8006/tcp filtered wpl-analytics

iptables -A INPUT -p tcp --dport 8006 -j DROP

Comments

[Alexey Dmitriev]

Правильнее - указать сервису перестать слушать на внешнем интерфейсе, а не правилами прикрываться

Answer 1

[Александр]

Вам из интернета нужно закрыть порт? Так и дропайте его на нужном интерфейсе.
Drop и reject одно и тоже, но reject уведомляет отправителя о блокировке. Reject обычно используют в своей внутренней сети, drop на внешней.

Comments

[historydev]

Мне нужно скрыть порт от nmap (помимо дропа пакетов)

[historydev]

Чтобы его не было вообще из вне видно

[Александр]

historydev,
iptables -I INPUT -i eth1(ваш интерфейс) -p tcp --dport 8006 -j DROP
вы же nmap снаружи запускаете?
можно еще в цепочку FORWARD добавить
iptables -I FORWARD -i eth1(ваш интерфейс) -p tcp --dport 8006 -j DROP

[Дмитрий]

А зачем дропать конкретный порт? Если не писать правило а дропать все кроме established, related его не будет видно

[historydev]

Stariyded, вообще все порты не будет видно?

[historydev]

Александр, извините, в данный момент не могу проверить, как смогу - проверю и отмечу ответом в случае успеха.

[Александр]

historydev, учитывая вашу ситуацию лучше сделать как написал Stariyded, или посмотреть правильную настроку iptables в статьях в интернете. Сам сейчас готовлюсь к переходу на белый ip и изучаю защиты от взлома чтоб также не попасть.

[historydev]

Дмитрий,

Да, это сработало, вот здесь то, что я сделал.

Но у меня пропал интернет на виртуалках.
И ещё вопрос, можно подобное на роутере сделать, чтобы порты в интернете не было видно?

[Дмитрий]

historydev, интернет пропал скорее всего из-за отсутствия маскарада.
Всё зависит от модели роутера, в общем в них есть функционал файрвола