[iptables] non permettere port scanning

[Dissidia]

ciao vorrei sapere se è possibile fare una regola con iptables che non permette di fare port scanning con nmap o con altri programmi sul mio computer ma che io lo posso fare verso gli altri (cioè bloccare il port scanning in ingresso ma lasciare libero quello in uscita).
grazie in anticipo

[Dissidia]

qualcuno sa darmi una mano??

[Dissidia]

aggiorno la discussione

[fortran77]

puoi creare una catena con regole di questo tipo:

Codice: Seleziona tutto

 $IPTABLES -N portscan
 $IPTABLES -F portscan
 #NMAP-XMAS
 $IPTABLES -A portscan -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP 
 #XMAS
 $IPTABLES -A portscan -p tcp --tcp-flags ALL ALL -j DROP
 #XMAS-PSH
 $IPTABLES -A portscan -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
 #NULL_SCAN 
 $IPTABLES -A portscan -p tcp --tcp-flags ALL NONE -j DROP
 #SYN/RST
 $IPTABLES -A portscan -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
 #SYN/FIN
 $IPTABLES -A portscan -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

Ma ovviamente devi creare delle regole diverse per ciascun tipo di scan diverso.
La traduzione in parole semplici è questa: se non sei un esperto di scansioni fai prima a lasciar perdere... oppure mettiti a studiare sodo 

[novainvicta]

forse dico un eresia.. installando snort in in-line (cosa non facile tra l'altro)