如何配置防火墙以避免端口扫描

Question

我正在尝试配置psad以停止端口扫描和其他攻击。

目前，除了端口22、80、443和3306之外，我的防火墙设置了以下规则:删除所有传入连接。

 -A INPUT -j DROP

 -A FORWARD -j DROP

我想用"psad“。"psad“中提到的主要要求是”iptables策略--与psad兼容--简单地说，iptables记录数据包“。

 iptables -A INPUT -j LOG
 iptables -A FORWARD -j LOG

那么，如何配置防火墙规则呢？

1. 我应该首先记录它们，然后删除它们吗？-A输入-j日志、-A转发-j日志、-A输入-j删除-A转发-j删除
2. 我不应该用drop吗？我对不放弃有点怀疑。

Answer 1

来自iptables手册：

LOG
    Turn  on  kernel  logging of matching packets.  When this option is set
    for a rule, the Linux kernel will print some information on all  match-
    ing  packets  (like most IP header fields) via the kernel log (where it
    can be read with dmesg or syslogd(8)).  This is a "non-terminating tar-
    get",  i.e.  rule traversal continues at the next rule.  So if you want
    to LOG the packets you refuse, use two separate  rules  with  the  same
    matching criteria, first using target LOG then DROP (or REJECT).

“不终止”是这里的关键术语。您可以随心所欲地放置LOG目标，但有一项理解，即在LOG条目之前“终止”的任何目标都不会被记录。

Answer 2

您需要智能地构建防火墙规则。PSAD的工作方式是监视到您系统的连接日志，然后根据各种启发式方法决定是否有人在扫描您的系统。

日志目标是不终止的，因此，一旦一个数据包被记录下来，它就被传回原发链，以便进一步处理。

粗略地说你需要：

• 允许连接到22,80,443和3306，无需登录。
• 将所有其他内容发送到日志目标。
• 应该在结尾处有一个默认的删除规则，并且/或策略应该删除。