Xtables-addons или добавляем функциональности фильтрации пакетов.
2012-12-21 16:13:09 (читать в оригинале)
Проект xtables-addons представляет собой набор модулей-расширений для входящего в ядро Linux фреймворка фильтрации и преобразования пакетов netfilter. В этот набор включаются расширения, которые по тем или иным причинам пока не были приняты в основную ветку разработки ядра Linux. Таким образом, данный проект является альтернативой устаревшему patch-o-matic(-ng). Ключевое отличие xtables-addons от предшественника состоит в отсутствии необходимости в наложении патчей на ядро и iptables, что значительно упрощает процесс сопровождения и установки расширений. Во времена patch-o-matic часто бывало сложно найти версию патча, совместимую с нужной версией ядра и/или iptables, в то время как для работы xtables-addons достаточно наличия ядра версии >=2.6.17 и iptables >= 1.4.3 (впрочем, в случае использования ipset 5 требования становятся несколько более жесткими — версия ядра не менее 2.6.35, дополнительно требуется библиотека libmnl). В числе других преимуществ xtables-addons над patch-o-matic(-ng) можно упомянуть расширенную поддержку IPv6 и более высокое качество кода.
В состав xtables-addons входит множество других полезных модулей (критериев и действий iptables/netfilter), в частности:
- TARPIT — широко известный в узких кругах инструмент для активного противодействия (D)DoS-атакам и сканированиям TCP-портов, способный в определенный обстоятельствах неплохо проучить атакующего. Суть его работы сводится к следующему: он подтверждает открытие входящего TCP-соединения, после чего устанавливает размер окна TCP равным нулю, что блокирует возможность корректного закрытия соединения. В результате система атакующего получает очередное «повисшее» соединение, в то время как ваша система ничего не замечает (хуки netfilter отрабатывают раньше, чем стандартный сетевой стек ядра, дополнительно может потребоваться отключение трекинга соединений в conntrack через действие NOTRACK). При агрессивной атаке подобная тактика может вызвать у атакующего серьезные проблемы. Особенно сильно такому воздействию подвержены системы семейства Windows, на которых, как правило, и работают атакующие ботнеты.
- DELUDE — не столь опасный, но тем не менее тоже полезный инструмент противодействия сканированию TCP-портов. Работает он следующим образом: на SYN-пакеты он отвечает SYN,ACK-пакетами, создавая видимость открытого порта, на все остальные пакеты он отвечает RST (чтобы не создавать лишних проблем). Таким образом, DELUDE позволяет ввести атакующего в заблуждение, создав у него неверное впечатление о состоянии ваших портов.
- CHAOS — еще один инструмент, позволяющий поставить атакующего в глупое положение. С заданной вероятностью он применяет к входящему пакету операцию TARPIT или DELUDE (в зависимости от настроек), либо стандартную операцию REJECT (отправка ICMP-уведомления о недоступности порта), либо операцию DROP (блокирование пакета без уведомления отправляющей стороны). По умолчанию вероятности применения TARPIT/DELUDE и REJECT составляют порядка одного процента, к остальному трафику применяется DROP.
- IPMARK — действие, позволяющее присвоить пакету маркировку, определенную в результате арифметических операций над его исходным адресом (либо адресом назначения). Таким образом, грамотная организация адресного пространства в сочетании с элементарными арифметическими и побитовыми операциями могут заменить монструозные таблицы соответствия «адрес — маркировка», поиск по которым может отнимать значительную долю системных ресурсов. Особенно полезна данная операция при организации гибких систем шейпинга, когда несколькими командами можно настроить работу многих тысяч очередей.
- LOGMARK — действие, дополняющее набор данных, выводимых стандартной операцией LOG, такими сведениями, как маркировка, идентификатор, состояние и статус соединения в системе conntrack, маркировка SELinux и классификационный код шейпера для данного пакета, имя родительского хука, внутренний код интерфейса и т.п.
- RAWDNAT/RAWSNAT — операции «сырой» трансляции адресов, не использующие трекинг соединений. Могут быть использованы для увеличения гибкости стандартного NAT либо при ограниченности ресурсов в сочетании с большим количеством соединений, когда трекинг становится чересчур накладным.
- ACCOUNT — простая, высокопроизводительная система учета трафика, поддерживающая работу с клиентскими сетями большого размера (вплоть до /8).
- SYSRQ — инструмент, позволяющий при получении специальным образом сформированных (защищенных паролем) пакетов обращаться к системному триггеру. В частности, можно удаленно инициировать сброс кэша (sync) или даже выполнить ту самую последовательность REISUB, вне зависимости от работоспособности userspace.
- DHCPMAC/dhcpmac — сочетание одноименных критерия и действия позволяет выделять и подменять MAC-адреса, фигурирующие в запросах и ответах DHCP.
- condition — критерий, срабатывающий в зависимости от значения соответствующей булевой переменной, которое может быть задано из userspace (через procfs). Таким образом, работой правил netfilter можно управлять, не вмешиваясь в их структуру.
- fuzzy — критерий, выделяющий пакеты на основании нечеткой логики (при скорости поступления пакетов ниже пороговой величины a, вероятность соответствия пакета критерию равна нулю, в диапазоне скоростей от a до b вероятность плавно возрастает до единицы, и при скорости выше b пакеты всегда соответствуют критерию).
- geoip — критерий, позволяющий выделять пакеты на основании принадлежности их исходного адреса или адреса назначения заданному государству. Можно использовать базы данных от MaxMind или WIPmania
- iface — критерий, срабатывающий в зависимости от состояния заданного сетевого интерфейса. В частности, с его помощью можно организовывать отказоустойчивый доступ в интернет при наличии нескольких независимых каналов, с автоматическим исключением неработающих каналов.
- ipp2p — критерий, позволяющий выделять трафик различных P2P-сетей, в частности, BitTorrent, eDonkey/eMule, DC, Gnutella, AppleJuice, WinMX, SoulSeek, Ares, KaZaA. Чрезвычайно удобен при организации эффективного шейпинга трафика. Является неплохой альтернативой критерию l7filter, который требует наложения патчей на ядро и поэтому не включен в проект xtables-addons.
- lscan — разработанный Яном Энгельгардтом инструмент для выявления скрытных операций по сканированию TCP-портов.
- psd — более простой инструмент для выявления массовых сканирований TCP- и UDP-портов, основанный на принципе взвешенной суммы.
- pknock — позволяет организовать защиту портов посредством технологии port knocking. Возможно дополнительное усиление защиты за счет использования HMAC256-шифрования отправляемых пакетов.
- quota2, length2 — расширяют возможности стандартных критериев netfilter quota и length.
Данная статья подготовлена по материалам сайта: http://www.opennet.ru/opennews/art.shtml?num=29198
Надеюсь, что еще одно подробное описнание некоторых возможностей фильтрации пакетов в Linux, будет полезным. Успехов вам в дружбе с тюксом.
https://nikitushkinandrey.wordpress.com/2012/05/11/xtables-addons-%d0%b8%d0%bb%d0%b8-%d0%b4%d0%be%d0%b1%d0%b0%d0%b2%d0%bb%d1%8f%d0%b5%d0%bc-%d1%84%d1%83%d0%bd%d0%ba%d1%86%d0%b8%d0%be%d0%bd%d0%b0%d0%bb%d1%8c%d0%bd%d0%be%d1%81%d1%82%d0%b8-%d1%84%d0%b8/
Улучшаем энергосбережение на мобильных устройствах с OS Linux.
2012-12-21 16:12:13 (читать в оригинале)
Давненько собирался написать данную статью.
Не буду приводить информацию о том, как подключить общеизвестные костыли. Расскажу о малоизвестных способах тюнинга энергосбережения.
Приступим.
Управление энергосбережением на мобильных чипах Broadcom с STA модулем:
iwconfig eth1 txpower 19dBm
iwconfig eth1 power period 1
iwconfig eth1 power timeout 300u all
iwconfig eth1 power 500m unicast
iwconfig eth1 power min period 1 power max period 2
iwconfig eth1 power saving 5
iwconfig eth1 commit
Изменяем процент с которого начинается использование свопа:
echo 10 > /proc/sys/vm/swappiness
Включаем отслеживание состояния питания:
echo “1″ > /sys/power/pm_trace
Управление вентилятором процессора:
echo “1″ > /sys/class/thermal/cooling_device0/cur_state
Управление энергосбережением контроллеров для подключаемых носителей:
echo min_power > /sys/class/scsi_host/host2/link_power_management_policy
echo min_power > /sys/class/scsi_host/host3/link_power_management_policy
echo min_power > /sys/class/scsi_host/host4/link_power_management_policy
Включаем энергосбережение для шины PCIe:
echo powersave > /sys/module/pcie_aspm/parameters/policy
Включаем энергосбережение для шины USB:
[ -L /sys/bus/usb/devices/1-5/power/level ] && echo auto > /sys/bus/usb/devices/1-5/power/level
[ -L /sys/bus/usb/devices/1-5/power/level ] && echo auto > /sys/bus/usb/devices/1-5/power/level
for i in /sys/bus/usb/devices/*/power/autosuspend; do echo 1 > $i; done
for i in /sys/bus/usb/devices/*/power/level; do echo auto > $i; done
Последнее используйте с осторожностью, т. к. могут быть проблемы с мышью.
или options usbcore autosuspend=1 в /etc/modprobe.conf или /etc/modules
Включаем режим для портативных устройств:
echo “5″ > /proc/sys/vm/laptop_mode
Настраиваем энергосбережение для подключаемых носителей информации:
hdparm -B 128 -S 200 /dev/sda
hdparm -B 128 -S 200 /dev/sg1
Параметры, специфичные для платформ на основе Intel-овской логики:
echo 1 > /sys/module/i915/parameters/i915_enable_rc6
echo 1 > /sys/module/snd_hda_intel/parameters/power_save
echo 1 > /sys/module/longhaul/parameters/scale_voltage
Более подробно и более познавательно об этом можно прочитать и найти более интресную информацию по следующей ссылке:
http://www.thinkwiki.org/wiki/How_to_reduce_power_consumption
“Знания и труд – горы перетрут!”, не так ли?
https://nikitushkinandrey.wordpress.com/2012/05/11/%d1%83%d0%bb%d1%83%d1%87%d1%88%d0%b0%d0%b5%d0%bc-%d1%8d%d0%bd%d0%b5%d1%80%d0%b3%d0%be%d1%81%d0%b1%d0%b5%d1%80%d0%b5%d0%b6%d0%b5%d0%bd%d0%b8%d0%b5-%d0%bd%d0%b0-%d0%bc%d0%be%d0%b1%d0%b8%d0%bb%d1%8c/
Тэги:
broadcom,
cooling_device,
hdparm,
intel,
laptop,
laptop_mode,
linux,
pcie,
powersave,
мобильный,
ноутбук,
устройство,
энергосбережение
Постоянная ссылка
Улучшаем работу Wi-Fi сети с тюксом на борту. ;-)
2012-12-21 16:08:55 (читать в оригинале)
Предлагаю произвести следующие изменения в алгоритме управления соединениями:
1. Подключаем следующие модули:
modprobe tcp_vegas
modprobe tcp_veno
2. Включаем управление передачей veno
echo “veno” > /proc/sys/net/ipv4/tcp_congestion_control
Алгоритм reno уже зарегистрирован в системе. Алгоритм veno является гибридом из алгоритмов vegas и reno, он аккумулирует все лучшее данных алгоритмов, но пока все еще является экспериментальным. Если вы не хотите использовать его на ответственных узлах с Wi-Fi, то включите алгоритм vegas.
Удачи в дружбе с тюксом!
https://nikitushkinandrey.wordpress.com/2012/05/11/%d1%83%d0%bb%d1%83%d1%87%d1%88%d0%b0%d0%b5%d0%bc-%d1%80%d0%b0%d0%b1%d0%be%d1%82%d1%83-wi-fi-%d1%81%d0%b5%d1%82%d0%b8-%d1%81-%d1%82%d1%8e%d0%ba%d1%81%d0%be%d0%bc-%d0%bd%d0%b0-%d0%b1%d0%be%d1%80%d1%82/
Мой рецепт по детектированию и блокированию аномального сканирования средствами iptables в Linux
2012-12-21 16:08:06 (читать в оригинале)
Давно не писал сам, хочу исправиться.
Сегодня речь пойдет о детектировании и блокировки аномального сканирования средствами iptables в операционной системе Linux.
Т. к. рецептами моего блога пользуются без указания меня, как первоисточника (и без ссылок на мои статьи), размещая, к тому же, аналогичную информацию задним числом, то обещаю, что это последняя моя помощь вам, любители плагиата.
Нижеописанные правила собраны мною из различных, не русскоязычных, источников, но все вместе, в том виде, в котором они будут приведены мною, вы не найдете ни на одном ресурсе в сети Интернет. Впрочем информация, приведенная по тьюнингу сетевого стека Windows в разделе MS Platforms на данном сайте, также уникальна и нигде не встречается в том виде, в котором она дается мною.
Не буду зазря лить воду, перейдем к делу.
Предлагаю внести следующие изменения в ваши таблицы iptables:
iptables -A INPUT -p tcp –tcp-flags ALL NONE -j LOG –log-prefix “Stealth scan: 0STEAL “
iptables -A INPUT -p tcp –tcp-flags ALL NONE -j STEAL
iptables -A INPUT -p tcp –tcp-flags ALL ALL -j LOG –log-prefix “Stealth scan: 1STEAL “
iptables -A INPUT -p tcp –tcp-flags ALL ALL -j STEAL
iptables -A INPUT -p tcp –tcp-flags ALL FIN,URG,PSH -j LOG –log-prefix “Stealth scan: 2STEAL “
iptables -A INPUT -p tcp –tcp-flags ALL FIN,URG,PSH -j STEAL
iptables -A INPUT -p tcp –tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG –log-prefix “Stealth scan: 3STEAL “
iptables -A INPUT -p tcp –tcp-flags ALL SYN,RST,ACK,FIN,URG -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,RST SYN,RST -j LOG –log-prefix “Stealth scan: 4STEAL “
iptables -A INPUT -p tcp –tcp-flags SYN,RST SYN,RST -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN SYN,FIN -j LOG –log-prefix “Stealth scan: 5STEAL “
iptables -A INPUT -p tcp –tcp-flags SYN,FIN SYN,FIN -j STEAL
iptables -A INPUT -p tcp –tcp-flags FIN,ACK FIN -j LOG –log-prefix “6Stealth scan”
iptables -A INPUT -p tcp –tcp-flags FIN,ACK FIN -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG,PSH PSH -j LOG –log-prefix “7Abnormal steal”
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG,PSH PSH -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG URG -j LOG –log-prefix “8Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG URG -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK FIN -j LOG –log-prefix “A9bnormal scan”
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK FIN -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK NONE -j LOG –log-prefix “10Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK NONE -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG,PSH SYN,FIN,URG,PSH -j LOG –log-prefix “11Abnormal sc$
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG,PSH SYN,FIN,URG,PSH -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG,PSH FIN,URG,PSH -j LOG –log-prefix “12Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG,PSH FIN,URG,PSH -j STEAL
iptables -A INPUT -p tcp –tcp-flags ACK,URG URG -j LOG –log-prefix “13Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags ACK,URG URG -j STEAL
iptables -A INPUT -p tcp –tcp-flags ALL FIN -j LOG –log-prefix “14Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags ALL FIN -j STEAL
iptables -A INPUT -p tcp –tcp-flags FIN,RST FIN,RST -j LOG –log-prefix “15Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags FIN,RST FIN,RST -j STEAL
iptables -A INPUT -p tcp –tcp-flags ACK,PSH PSH -j LOG –log-prefix “16Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags ACK,PSH PSH -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,ACK,FIN,RST SYN -j LOG –log-prefix “17Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags SYN,ACK,FIN,RST SYN -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,URG SYN,URG -j LOG –log-prefix “18Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags SYN,URG SYN,URG -j STEAL
iptables -A INPUT -p tcp –tcp-flags FIN,SYN,RST,ACK SYN -j LOG –log-prefix “19Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags FIN,SYN,RST,ACK SYN -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,PSH SYN,FIN,PSH -j LOG –log-prefix “20Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,PSH SYN,FIN,PSH -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST SYN,FIN,RST -j LOG –log-prefix “21Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST SYN,FIN,RST -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,PSH SYN,FIN,RST,PSH -j LOG –log-prefix “22Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,PSH SYN,FIN,RST,PSH -j STEAL
iptables -A INPUT -p tcp –tcp-flags ALL SYN,PSH -j LOG –log-prefix “23Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags ALL SYN,PSH -j STEAL
iptables -A INPUT -p tcp –tcp-flags ALL SYN,ACK,PSH -j LOG –log-prefix “24Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags ALL SYN,ACK,PSH -j STEAL
iptables -A INPUT -p tcp –tcp-flags ACK,FIN FIN -j LOG –log-prefix “25Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags ACK,FIN FIN -j STEAL
iptables -A INPUT -p tcp –tcp-flags ALL RST -j LOG –log-prefix “26Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags ALL RST -j STEAL
iptables -A INPUT -p tcp –tcp-flags ALL RST,ACK -j LOG –log-prefix “27Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags ALL RST,ACK -j STEAL
iptables -A INPUT -p tcp –tcp-flags ALL ACK,PSH,RST -j LOG –log-prefix “28Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags ALL ACK,PSH,RST -j STEAL
iptables -A INPUT -p tcp –tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG –log-prefix “29Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j STEAL
Как вы видите всего 29 цепочек. Данный список можно дополнить еще несколькими цепочками, но они нарушат нормальное функционирование сетевого стека вашего пингвина и могут быть использованы только на станции в конфигурации со средствами детектирования и превентивного реагирования сетевого вторжения. Поэтому мною они приводится не будут.
Не стоит также забывать о способах тmюнига сетевого стека средствами sysctrl, которые более богато представлены, по сравнению с возможностями сетевого стека MS Windows. С помощью средств sysctrl вы сможете еще более защитить ваш дефолтный тюкс.
Обещаю вам еще чем-нибудь порадовать в будущем.
Удачи! И до новых встреч!
https://nikitushkinandrey.wordpress.com/2012/07/20/%d0%bc%d0%be%d0%b9-%d1%80%d0%b5%d1%86%d0%b5%d0%bf%d1%82-%d0%bf%d0%be-%d0%b4%d0%b5%d1%82%d0%b5%d0%ba%d1%82%d0%b8%d1%80%d0%be%d0%b2%d0%b0%d0%bd%d0%b8%d1%8e-%d0%b8-%d0%b1%d0%bb%d0%be%d0%ba%d0%b8%d1%80/
Тэги:
abnormal,
block,
drop,
guard,
iptables,
linux,
network,
scan,
блокировка,
защита,
линукс,
сканирование
Постоянная ссылка
My recipe on detecting and blocking of abnormal scanning by means of iptables in Linux
2012-12-21 16:06:57 (читать в оригинале)
Long ago didn’t write itself, I want to be corrected.
Today it will be a question of detecting and blocking of abnormal scanning by means of iptables in the Linux operating system.
Since recipes of my blog use without the instruction me as the primary source (and without references to my articles), placing, besides, similar information backdating, I promise that it is the last my help to you, fans of plagiarism.
Described below rules are collected by me from various, not Russian-speaking, sources, but all together, in that look in which they will be brought by me, you won’t find on one resource in the Internet. However information provided on a tyyuning of a network stack of Windows in the section MS Platforms on this site, is also unique and doesn’t meet anywhere in that look in which it is given by me.
I will not pour to no purpose water, we will pass to business.
I suggest to make the following changes to your tables iptables:
iptables -A INPUT -p tcp –tcp-flags ALL NONE -j LOG –log-prefix “Stealth scan: 0STEAL “
iptables -A INPUT -p tcp –tcp-flags ALL NONE -j STEAL
iptables -A INPUT -p tcp –tcp-flags ALL ALL -j LOG –log-prefix “Stealth scan: 1STEAL “
iptables -A INPUT -p tcp –tcp-flags ALL ALL -j STEAL
iptables -A INPUT -p tcp –tcp-flags ALL FIN,URG,PSH -j LOG –log-prefix “Stealth scan: 2STEAL “
iptables -A INPUT -p tcp –tcp-flags ALL FIN,URG,PSH -j STEAL
iptables -A INPUT -p tcp –tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG –log-prefix “Stealth scan: 3STEAL “
iptables -A INPUT -p tcp –tcp-flags ALL SYN,RST,ACK,FIN,URG -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,RST SYN,RST -j LOG –log-prefix “Stealth scan: 4STEAL “
iptables -A INPUT -p tcp –tcp-flags SYN,RST SYN,RST -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN SYN,FIN -j LOG –log-prefix “Stealth scan: 5STEAL “
iptables -A INPUT -p tcp –tcp-flags SYN,FIN SYN,FIN -j STEAL
iptables -A INPUT -p tcp –tcp-flags FIN,ACK FIN -j LOG –log-prefix “6Stealth scan”
iptables -A INPUT -p tcp –tcp-flags FIN,ACK FIN -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG,PSH PSH -j LOG –log-prefix “7Abnormal steal”
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG,PSH PSH -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG URG -j LOG –log-prefix “8Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG URG -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK FIN -j LOG –log-prefix “A9bnormal scan”
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK FIN -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK NONE -j LOG –log-prefix “10Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK NONE -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG,PSH SYN,FIN,URG,PSH -j LOG –log-prefix “11Abnormal sc$
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG,PSH SYN,FIN,URG,PSH -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG,PSH FIN,URG,PSH -j LOG –log-prefix “12Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,ACK,URG,PSH FIN,URG,PSH -j STEAL
iptables -A INPUT -p tcp –tcp-flags ACK,URG URG -j LOG –log-prefix “13Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags ACK,URG URG -j STEAL
iptables -A INPUT -p tcp –tcp-flags ALL FIN -j LOG –log-prefix “14Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags ALL FIN -j STEAL
iptables -A INPUT -p tcp –tcp-flags FIN,RST FIN,RST -j LOG –log-prefix “15Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags FIN,RST FIN,RST -j STEAL
iptables -A INPUT -p tcp –tcp-flags ACK,PSH PSH -j LOG –log-prefix “16Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags ACK,PSH PSH -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,ACK,FIN,RST SYN -j LOG –log-prefix “17Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags SYN,ACK,FIN,RST SYN -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,URG SYN,URG -j LOG –log-prefix “18Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags SYN,URG SYN,URG -j STEAL
iptables -A INPUT -p tcp –tcp-flags FIN,SYN,RST,ACK SYN -j LOG –log-prefix “19Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags FIN,SYN,RST,ACK SYN -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,PSH SYN,FIN,PSH -j LOG –log-prefix “20Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,PSH SYN,FIN,PSH -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST SYN,FIN,RST -j LOG –log-prefix “21Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST SYN,FIN,RST -j STEAL
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,PSH SYN,FIN,RST,PSH -j LOG –log-prefix “22Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,RST,PSH SYN,FIN,RST,PSH -j STEAL
iptables -A INPUT -p tcp –tcp-flags ALL SYN,PSH -j LOG –log-prefix “23Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags ALL SYN,PSH -j STEAL
iptables -A INPUT -p tcp –tcp-flags ALL SYN,ACK,PSH -j LOG –log-prefix “24Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags ALL SYN,ACK,PSH -j STEAL
iptables -A INPUT -p tcp –tcp-flags ACK,FIN FIN -j LOG –log-prefix “25Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags ACK,FIN FIN -j STEAL
iptables -A INPUT -p tcp –tcp-flags ALL RST -j LOG –log-prefix “26Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags ALL RST -j STEAL
iptables -A INPUT -p tcp –tcp-flags ALL RST,ACK -j LOG –log-prefix “27Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags ALL RST,ACK -j STEAL
iptables -A INPUT -p tcp –tcp-flags ALL ACK,PSH,RST -j LOG –log-prefix “28Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags ALL ACK,PSH,RST -j STEAL
iptables -A INPUT -p tcp –tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG –log-prefix “29Abnormal scan”
iptables -A INPUT -p tcp –tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j STEAL
As you see only 29 chains. It is possible to add this list with several more chains, but they will break normal functioning of a network stack of your penguin and can be used only at station in a configuration with means of detecting and preventive reaction of network invasion. Therefore by me they it is brought won’t be.
It is worth to remember also about ways тmюнига a network stack means of sysctrl which are more richly presented, in comparison with possibilities of a network stack of MS Windows. By means of means of sysctrl you can protect even more your defoltny тюкс.
I promise you to please still with something in the future.
Good luck! And to new meetings!
https://nikitushkinandrey.wordpress.com/2012/07/20/my-recipe-on-detecting-and-blocking-of-abnormal-scanning-by-means-of-iptables-in-linux/
