IPTables & NMAP
Moderatore: Staff
Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
IPTables & NMAP
Salve a tutti,
ho installati nella mia macchina un Server Web, Server Mail e SSH.
Vorrei sapere se esiste un modo per "occultare" ad uno scanning sul mio host la presenza di tali servizi attivi, senza comprometterne l'utilizzo.
Pensavo di utilizzare iptables, ho letto numerosi how-to, fatti svariati tentativi,
ma se riesco ad "occultare" le porte, rendo inutilizzabile i servizi.
Sapete dirmi come fare?
ho installati nella mia macchina un Server Web, Server Mail e SSH.
Vorrei sapere se esiste un modo per "occultare" ad uno scanning sul mio host la presenza di tali servizi attivi, senza comprometterne l'utilizzo.
Pensavo di utilizzare iptables, ho letto numerosi how-to, fatti svariati tentativi,
ma se riesco ad "occultare" le porte, rendo inutilizzabile i servizi.
Sapete dirmi come fare?
Se c'è un demone in ascolto, le porte sono aperte. Al limite le puoi filtrare per IP particolari...
io ho fatto così per filtrare le connessioni DNS, samba e CUPS provenienti da internet (e non dalla LAN):
io ho fatto così per filtrare le connessioni DNS, samba e CUPS provenienti da internet (e non dalla LAN):
Codice: Seleziona tutto
iptables -A INPUT -i ppp0 -p tcp --dport 53 -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 53 -j DROP
iptables -A INPUT -i ppp0 -p tcp --dport 137:139 -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 137:139 -j DROP
iptables -A INPUT -i ppp0 -p tcp --dport 445 -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 445 -j DROP
iptables -A INPUT -i ppp0 -p tcp --dport 631 -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 631 -j DROP
Per SSH potresti utilizzare l'autenticazione RSA... c'è un semplice tutorial qua:
http://wiki.infopa.net/LoginAutomatico
la porta non sarà invisibile, ma almeno si potrà effettuare il login solo da postazioni "affidabili".
http://wiki.infopa.net/LoginAutomatico
la porta non sarà invisibile, ma almeno si potrà effettuare il login solo da postazioni "affidabili".
- sid77
- Linux 3.x
- Messaggi: 568
- Iscritto il: mer 1 giu 2005, 0:00
- Slackware: 12.0/12.1/curr (ppc)
- Località: PowerPC
- Contatta:
"portknocking"
ci sono un paio di daemon e manuali in giro, in pratica è una specie di inetd che lancia i servizi non alla richiesta diretta ma solo dopo una serie corretta di pacchetti inviati a porte specifiche.
certo, nel momento che sei connesso a ssh la porta è visibile, ma prima e dopo non più.
ciao
ci sono un paio di daemon e manuali in giro, in pratica è una specie di inetd che lancia i servizi non alla richiesta diretta ma solo dopo una serie corretta di pacchetti inviati a porte specifiche.
certo, nel momento che sei connesso a ssh la porta è visibile, ma prima e dopo non più.
ciao
- albatros
- Iper Master
- Messaggi: 2093
- Iscritto il: sab 4 feb 2006, 13:59
- Kernel: 5.19.0
- Desktop: gnome and lxqt
- Distribuzione: ubuntu 22.04
- Località: Darmstadt - Germania
Potresti utilizzare la tecnica del "port knocking"...
C'era un articolo di Marco Ortisi sul numero di febbraio di Linux Pro...
Detto in parole povere e senza pretesa di rigore, tentando delle connessioni su una sequenza di porte dalle quali non ottieni risposta, ma i cui tentativi di accesso vengono visti dal server, ottieni l'apertura di una porta ad hoc che prima era chiusa...
C'è anche un articolo di Ortisi su un'altra tecnica, reverse shell, sul numero di marzo della stessa rivista, che ha articoli che spaziano dal banale all'avanzato...
Ho letto articoli di Ortisi anche su Linux & C. e sinceramente, come Panichi, mi pare molto preparato nel campo della sicurezza...
Gli articoli poi, pur non esaustivi, sono scritti in maniera abbastanza chiara e più che sufficiente per un primo approccio a queste tecniche...
Di questo settore me ne intendo poco, forse altri amici del forum potranno esserti di maggiore aiuto...
Comunque, se non hai la possibilità di reperire la rivista, prova a cercare in rete, sicuramente trovi qualcosa...
C'era un articolo di Marco Ortisi sul numero di febbraio di Linux Pro...
Detto in parole povere e senza pretesa di rigore, tentando delle connessioni su una sequenza di porte dalle quali non ottieni risposta, ma i cui tentativi di accesso vengono visti dal server, ottieni l'apertura di una porta ad hoc che prima era chiusa...
C'è anche un articolo di Ortisi su un'altra tecnica, reverse shell, sul numero di marzo della stessa rivista, che ha articoli che spaziano dal banale all'avanzato...
Ho letto articoli di Ortisi anche su Linux & C. e sinceramente, come Panichi, mi pare molto preparato nel campo della sicurezza...
Gli articoli poi, pur non esaustivi, sono scritti in maniera abbastanza chiara e più che sufficiente per un primo approccio a queste tecniche...
Di questo settore me ne intendo poco, forse altri amici del forum potranno esserti di maggiore aiuto...
Comunque, se non hai la possibilità di reperire la rivista, prova a cercare in rete, sicuramente trovi qualcosa...
wow.. che bella idea il port-knocking!! ho colto l'occasione per cercare qualcosa a riguardo!
swaret --install knock
e vi ritrovate un server (knockd) e un client (knock).
per farvi capire quanto è semplice la configurazione, vi posto il contenuto di default di /etc/knockd.conf...
semplice, no? con il client si "bussa" in sequenza alle porte 7000 8000 e 9000 e si apre SSH... per chiudere si fa il procedimento contrario
Ovviamente al boot si deve impostare iptables con politica di DROP sulle porte da proteggere con questa tecnica.
swaret --install knock
e vi ritrovate un server (knockd) e un client (knock).
per farvi capire quanto è semplice la configurazione, vi posto il contenuto di default di /etc/knockd.conf...
Codice: Seleziona tutto
[options]
logfile = /var/log/knockd.log
[openSSH]
sequence = 7000,8000,9000
seq_timeout = 5
command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags = syn
[closeSSH]
sequence = 9000,8000,7000
seq_timeout = 5
command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j DROP
tcpflags = syn
Ovviamente al boot si deve impostare iptables con politica di DROP sulle porte da proteggere con questa tecnica.