[FUG-BR] OT: Drop Port Scanners

Wanderson Tinti wanderson em bsd.com.br
Sexta Dezembro 25 17:46:51 BRST 2009


2009/12/23 Enio Marconcini <eniorm em gmail.com>

> Pessoal,tava dando uma olhada no wiki do Mikroshit e vi um tópico
> interessante na parte de firewall
>
> trata-se de umas regras para bloquear a ação de portscanners, e um amigo
> que
> testou disse que atrapalhou bastante o funcionamento do nmap,
>
> http://wiki.mikrotik.com/wiki/Drop_port_scanners
>
> essas regras são interpretadas pelo mikrotik mas internamente é o iptables
> que as usa...
>
> tava pensando converter isso para o PF ou IPFW
>
> alguém poderia me dar um help
>
> --
> ENIO RODRIGO MARCONCINI
> gtalk: eniorm em gmail.com
> skype: eniorm
> msn: /dev/null
>

Boa tarde.

Uma boa partida é consultar a documentação do Nmap e obter as sequências de
opções e flags tcp usadas pelo scanner. Alterar o ttl ip do seu OS, o uso da
opção  tcp_drop_synfin="YES". Não sei quais consequências essa última opção
pode causar.

De uma olhada no histórico da lista, tem muitas dicas e várias regras de
firewall como exemplo.
Sobre a tradução desse exemplo de regras, você pode consultar o link [1]
para saber o que cada opção significa e após isso tentar escrever usando seu
filtro de pacotes.

[1] http://wiki.mikrotik.com/wiki/Firewall/NAT


Atenciosamente,
Wanderson Tinti


Mais detalhes sobre a lista de discussão freebsd