またまたポートスキャンの話でなんだが、今度は12.43.53.196のアドレスから延々とポートスキャンがかかっている。19日の14時頃から先ほどまでに388回もかけられているので、もううんざり。
ということで
LinuxでRouterを作る - iptablesの設定というページを参考にiptablesの設定に追加ルールを加えてみた。
加えたルール
#---ステルススキャン対策
# Halfopen scan
/sbin/iptables -N hopen-scan
/sbin/iptables -A hopen-scan -m limit --limit 1/s --limit-burst 4 -j RETURN
/sbin/iptables -A hopen-scan -j DROP
/sbin/iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j hopen-scan
/sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j hopen-scan
# Stealth scan
/sbin/iptables -N stealth-scan
/sbin/iptables -A stealth-scan -j DROP
/sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j stealth-scan
/sbin/iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j stealth-scan
いやぁ、よくわかんないけどうまくいってるのかなぁ。対策後ポートスキャンがぴたっと止まった。やってみるもんだな。
と思ったのはまたまた俺の勘違い。ポートスキャン延々と続いております。なんなんだよオマエ(T_T) 。ハーフスキャンを完全に拒否することって出来ないのかなぁ?