Nie bardzo potrafię znaleść "złotego środka" jak należałoby skonfigurować zaporę iptables dla serwera.
Problemem jest choćby "XMAS TREE SCAN" np.
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH PSH -j LOG --log-prefix "Xmas scan: "
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP
# https://pl.wikibooks.org/wiki/Debian_-_uniwersalna_instalacja/Konfigurowanie_iptables
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
# https://www.cyberciti.biz/tips/linux-iptables-10-how-to-block-common-attack.html
Gdy skanuje przy pomocy nmap okazało się ze ochrona nie działa.
Jak doczytałem
A Christmas tree packet is a packet in which all the flags in any protocol are set.
# https://linoxide.com/firewall/block-common-attacks-iptables/
Natomiast nmap używa
metoda Xmas Tree (nmap -sX) – wykorzystuje pakiety z bitami FIN, URG i PUSH
# https://pl.wikipedia.org/wiki/Nmap
Czyli żeby to naprawdę działało to chyba bym musiał wymienić wszystkie możliwe kombinacje wszystkich flag.
1. Czy napisanie skryptu w nmap to dobry pomysł, czy można przetestować zaporę w prostszy sposób ?
2. Wydaje sie tam https://nmap.org/book/scan-methods-null-fin-xmas-scan.html
nie pisze zbyt wiele o atakach, oprócz paru szczegółów np.
will result in a returned RST
Czy są jakieś strony bardziej techniczne ?
3. A może wystarczy zablokować flagę RST na wyjściu ?
4. A może powinienem zrezygnować z blokowania lub zainstalowac jakis "network intrusion detection system (NIDS) ?