Iptables e Port Scanning e módulo Recent

2

Eu estou tentando escrever um firewall adaptativo usando o iptables, e não estou claro sobre como o módulo recente está funcionando. Por exemplo, consulte o link

Snippet do meu iptables:

...input stuff, established, etc...
-A INPUT -m conntrack --ctstate NEW -j limiter
... more input stuff...
# very end of chain, nothing matches. Likely unauthorized port
-A INPUT -m conntrack --ctstate NEW -m recent --name PORTSCAN --set

# limiter table
-A limiter -m recent --update --name PORTSCAN
-A limiter -m recent --rcheck --name PORTSCAN --hitcount 10 --seconds 300 -j LOG

Esta configuração funciona. Observando / proc / net / xt_recent / PORTSCAN, rodar o nmap em uma porta fechada adiciona meu ip e, em seguida, tentar conectar a porta 80 (que está aberta) atualiza a lista. Além disso, se eu me conectar apenas às portas abertas, não serei adicionado à lista.

Minha pergunta é: quando tento combinar as duas linhas da tabela de limiter em uma, ela não funciona mais.

#-A limiter -m recent --update --name PORTSCAN
#-A limiter -m recent --rcheck --name PORTSCAN --hitcount 10 --seconds 300 -j LOG
-A limiter -m recent --update --name PORTSCAN --hitcount 10 --seconds 300 -j LOG

A varredura de uma porta aberta após uma fechada não atualiza a lista (embora, se o limite de 10 pacotes / 300 segundos for excedido, ela seja registrada).

Meu entendimento era de que a linha de atualização seria equivalente às outras duas. Porque não?

    
por Ben P. 20.08.2013 / 18:29

0 respostas

Tags