Я хочу заблокировать пинг-зонды nmap, и для этого мне сначала нужно заблокировать все входящие пакеты подтверждения, приходящие на порт 80. Я использовал эту команду, но это не сработало:
iptables -A INPUT -p tcp --dport 80 --tcp-falgs ALL ACK -j DROP
Дело в том, что он работает с любым портом, кроме 80 и 443, и это порты для протоколов http / https. Есть ли способ заставить эту работу и заблокировать эти неожиданные пакеты ACK на этих портах?
Вот все мои правила из входной цепочки:
iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 80 --tcp-flags ALL ACK -j LOG --log-prefix "PSAD: ACK PING "
iptables -A INPUT -p tcp --dport 80 --tcp-flags ALL ACK -j DROP
iptables -A INPUT -m conntrack --ctstate INVALID -j LOG --log-prefix "DROP INVALID " --log-ip-options --log-tcp-options
iptables -A INPUT -m conntrack --ctstate INVALID -j DROP
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
Заранее благодарю ...
Прошу прощения у всех, что отнял у вас время. Я только что заметил, что у меня есть правило nat, которое перенаправляет все пакеты, поступающие на порт 80, на другой IP-адрес, где не работает хост. И поскольку PREROUTING идет перед цепочкой INPUT, он перенаправляется непосредственно на другой несуществующий хост. Поэтому правила, которые я применил, не возымели действия