a.- Rechazar el tráfico hacia el puerto 25, en la interfaz eth1, siempre que los paquetes vengan marcados con las opciones SYN y ACK del protocolo tcp, a la vez.
Para comprobar las diferencias, en primer lugar pongo a escuchar netcat en el puerto 25:
netcat -l -p 25
Para comprobar cuál sería la respuesta normal a un paquete normal con el syn y el ack activos genero uno con hping:
hping -c 1 -S -A -p 25 192.168.56.101
como vemos nos responde con un flag R (reset) indicando que el sistema está activo, los sistemas BSD, por defecto ignoran este tipo de paquetes.
Insertamos ahora la regla para ignorar TODOS los paquetes de entrada marcados con los bits SYN y ACK destinados al puerto 25:
iptables -I INPUT -i eth1 -p tcp --tcp-flags SYN,ACK SYN,ACK --dport 25 -j DROP
y volvemos a realizar el hping:
hping3 -c 2 -S -A -p 25 192.168.56.101
y comprobamos en iptables cómo realmente ha rechazado estos paquetes:
Si lo que quisiéramos fuera descartar sólo los paquetes nuevos, es decir, evitar escaneos empleando estos bits o ser usados en ataques de predicción de secuencia numérica deberíamos emplear:
iptables -A INPUT -i eth1 -p tcp –tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP
No hay comentarios:
Publicar un comentario