linux – 如何配置iptables,以便不会将不需要的端口报告为已过滤

我想阻止其他人看到我的端口在nmap标准扫描中被过滤(非特权).假设我打开了以下端口：22,3306,995,防火墙配置如下：

-A INPUT -p tcp -m tcp --dport 22 -j DROP
-A INPUT -p tcp -m tcp --dport 3306 -j DROP
-A INPUT -p tcp -m tcp --dport 995 -j DROP

这是nmap扫描的结果：

[+] Nmap scan report for X.X.X.X

    Host is up (0.040s latency).
    Not shown: 90 closed ports

    PORT     STATE    SERVICE
    22/tcp   filtered ssh
    995/tcp  filtered pop3s
    3306/tcp filtered MysqL

它将这些端口显示为已过滤,因为我的服务器没有回复SYN的RST.有没有办法修改这种行为？例如：如果iptables防火墙阻止端口,请回复RST的SYN,而不是保持沉默(不回复任何东西)？

解决方法

不要使用DROP,如果您知道该框已启用,则很容易将其识别为“已过滤”.相反,您可以使用以下命令发送RST. (好像有一个服务正在侦听,但它不接受你的连接)

-A INPUT -p tcp -m tcp --dport 22 -j REJECT --reject-with tcp-reset

或者只是使用以下内容使端口看起来关闭. (好像没有收听服务)

-A INPUT -p tcp -m tcp --dport 22 -j REJECT

linux – 如何配置iptables,以便不会将不需要的端口报告为已过滤

解决方法

相关文章