nmap扫描的问题

jixuuse

num  target     prot opt source               destination         
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           （这个是针对环回接口的）

这两条不就是裸奔的意思嘛，允许所有源IP的所有协议访问

一枝梅花压海棠

第一条是匹配链路状态 是established和related包的
第二条是匹配环回接口的 就是是本机发给本机的包
   回复 11# jixuuse


   

jixuuse

一枝梅花压海棠 发表于 2016-01-14 16:25
第一条是匹配链路状态 是established和related包的
第二条是匹配环回接口的 就是是本机发给本机的包
   回 ...

0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0

这个才是匹配环回口的，因为指定了接口为lo ，不指定就是允许所有接口和IP

一枝梅花压海棠

iptables -nL是不显示端口信息的，这条规则没问题，我在后边已经做了标注说明是回环接口而且即使我删掉这条规则还是不行，现在我想了解下黑客Telnet到一个端口可以做哪些攻击，因为这个显示开放的端口，经过一次访问之后就都显示正常了 或关闭或被防火墙过滤，但是过段时候在扫描端口又显示开放了
[root@oracle ~]# nmap -Pn  192.134.109.227 -v -p 8080

Starting Nmap 5.51 ( http:：//nmap.org ) at 2016-01-15 09:12 CST
Initiating Parallel DNS resolution of 1 host. at 09:12
Completed Parallel DNS resolution of 1 host. at 09:12, 0.01s elapsed
Initiating SYN Stealth Scan at 09:12
Scanning 117.34.109.237 [1 port]
Discovered open port 8080/tcp on192.134.109.227
Completed SYN Stealth Scan at 09:12, 0.01s elapsed (1 total ports)
Nmap scan report for 192.134.109.227
Host is up (0.0046s latency).
PORT     STATE SERVICE
8080/tcp open  http-proxy

Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 0.07 seconds
           Raw packets sent: 1 (44B) | Rcvd: 1 (48B)
浏览器或Telnet访问一次8080端口就显示这个端口被防火墙过滤了

[root@oracle ~]# nmap -Pn   192.134.109.227 -v -p 8080

Starting Nmap 5.51 ( http:;//nmap.org ) at 2016-01-15 09:13 CST
Initiating Parallel DNS resolution of 1 host. at 09:13
Completed Parallel DNS resolution of 1 host. at 09:13, 0.00s elapsed
Initiating SYN Stealth Scan at 09:13
Scanning 192.134.109.227 [1 port]
Completed SYN Stealth Scan at 09:13, 2.01s elapsed (1 total ports)
Nmap scan report for 192.134.109.227
Host is up.
PORT     STATE    SERVICE
8080/tcp filtered http-proxy

Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 2.07 seconds
           Raw packets sent: 2 (88B) | Rcvd: 0 (0B)回复 13# jixuuse


   

woxizishen

前面几个童鞋已经给你答案了。你的默认预设策略应该设为丢弃而不是允许。数据包流入iptables，他是要经过五个链的。你的预设策略全都是允许，一般外部类似namp的探测器就能够扫描出你的端口。

Riet

source 0/0 明显是允许所有地址， 哪里指lo了

一枝梅花压海棠

数据包不管怎么经过5条链 但是对外部数据包进行过滤只要在filter表中的INPUT链中处理就可以了，不知道我的理解对不对，请大牛指正

另外关于预设策略应该是具体规则匹配完成后，最后匹配的策略下边两种策略的效果有区别吗
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:67

和

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:67
DROP       ALL  --  0.0.0.0/0            0.0.0.0/0  


回复 15# woxizishen


   

一枝梅花压海棠

已经说过了 iptables -nL命令是不显示端口信息的  已经通过别的命令iptables -nL -v确认过了 这条规则就是针对回环接口的回复 16# Riet


   

Riet

一枝梅花压海棠 发表于 2016-01-25 14:04
已经说过了 iptables -nL命令是不显示端口信息的  已经通过别的命令iptables -nL -v确认过了 这条规则就是针 ...

好吧 我错了，我试了下 我是正常的

nmap结果
Host is up (0.00036s latency).
Not shown: 999 filtered ports
PORT   STATE SERVICE
22/tcp open  ssh
MAC Address: 00:0C:29:37:3D:EE


iptables：
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
DROP       all  --  0.0.0.0/0            0.0.0.0/0           

然后关于你说的两种策略，我个人理解，无非就收一种管的紧一点，一种管的松一点，看具体应用，内网无所谓，出口防火墙还是默认drop一条条开吧，不过看你的格式 默认accept的那个最后有个drop all 其实和默认drop没区别。

woxizishen

回复 17# 一枝梅花压海棠


Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED     
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           （这个是针对环回接口的）
3    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
4    DROP       all  --  0.0.0.0/0            0.0.0.0/0                                                              这条本身确实没问题，不过你上面几条规则有点猛！！


防火墙规则匹配是从上而下，只要匹配到，直接就跳到下一个链去，才懒得理会你后面的规则，而nmap扫描软体他是通过tcp或者udp或者半连接扫描方法进行的，尽管你在input链最后一条规则加了drop，但是有你前面那几条规则已足以，你如果非要这样用，也不是没办法，你至少得在iptables的input链最前面加上规则限制，首先就在最开始将nmap扫描挡在外面。

举个例如:
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j Drop