Ich zerbreche mir den Kopf darüber... Ich verwende Shields Up, während ich mich über einen Proxy mit einem Server verbunden habe, den ich gerade bei Rackspace eingerichtet habe. Hier ist meine iptables-Konfiguration:
*filter
# Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
# Accept all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allow all outbound traffic - you can modify this to only allow certain traffic
-A OUTPUT -j ACCEPT
# Allow HTTP and HTTPS connections from anywhere (the normal ports for websites and SSL).
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
# Allow SSH connections
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
# Allow ping
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
# Reject all other inbound - default deny unless explicitly allowed policy
-A INPUT -j REJECT
-A FORWARD -j REJECT
COMMIT
Ich habe dies in einer Konfigurationsdatei gespeichert und mit iptables-restore geladen. So sieht mein Portscan aus:
Was könnte die Ursache für dieses Muster geschlossener Ports sein?
BEARBEITEN: Ausgabe von iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
REJECT all -- anywhere 127.0.0.0/8 reject-with icmp-port-unreachable
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
ACCEPT icmp -- anywhere anywhere icmp echo-request
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Antwort1
Was könnte die Ursache für dieses Muster geschlossener Ports sein?
Ein mieser Scanner. Sie fügen einen
-A INPUT -j REJECT
Regel, die dazu führen würde, dass Ihr Host mit ICMP type 3 / code 3der Nachricht antwortet (Ziel nicht erreichbar - Port nicht erreichbar) für alle außer den zuvor akzeptierten Ports 22, 80 und 443 (letzterer erscheint ebenfalls nicht im Scan). Dies sollte auf keinen Fall zu „Stealth“-Ports führen.
Die Gibsonnicht vertrauenswürdigund andere haben ähnliche Beobachtungen über den berüchtigten"Schilde hoch!" Jahre zuvor:
GRCs „Nanosonden“ stellen fleißig eine Verbindung zum Server her und wandern dann weiter. Der Porttest zeigt mir jedoch, dass mein HTTP-Port geschlossen ist. Seltsam. Sehr seltsam. Ein Blick auf die Protokolle, die ich von dieser Verbindung aus abhöre, zeigt, dass mein Webserver geantwortet hat – das Testprogramm meldet jedoch, dass er geschlossen ist. Ich wiederholte die Übung mit Windows- und Unix-basierten Webservern und erhielt eine Gesamttrefferquote von weniger als dreißig Prozent, mit anderen Worten, das Testprogramm erkannte meinen offenen Webserver mehr als oft nicht.
Es scheint, manche Dinge ändern sich nie.
Greifen Sie alternativ auf öffentlich verfügbare Open-Source-Tools zurück.Nmapist ein universeller Scanner, den Sie mit praktisch jeder Distribution auf einem VPS-Host für 5 $/Monat erhalten würden. Wenn Sie nur gelegentlich Scans benötigen, können Sie Online-Nmap-Dienste wiedas von Online Domain Tools.