openwrt防扫描小妙招
本帖最后由 bingozb 于 2022-12-16 22:57 编辑受到18楼monkeylab启发,将步骤2、3、4的语句整合到ban.user脚本里
新建个脚本比如/etc/ban.user
#!/bin/sh
ipset create scanner-ip-set hash:ip timeout 86400
iptables -D input_wan_rule -p icmp --icmp-type 8 -j SET --add-set scanner-ip-set src 2>/dev/null
iptables -A input_wan_rule -p icmp --icmp-type 8 -j SET --add-set scanner-ip-set src
iptables -D input_wan_rule -p icmp --icmp-type 8 -j DROP 2>/dev/null
iptables -A input_wan_rule -p icmp --icmp-type 8 -j DROP
iptables -D input_wan_rule -p all -m set --match-set scanner-ip-set src -j DROP 2>/dev/null
iptables -I input_wan_rule -p all -m set --match-set scanner-ip-set src -j DROP
iptables -D forwarding_wan_rule -p all -m set --match-set scanner-ip-set src -j DROP 2>/dev/null
iptables -I forwarding_wan_rule -p all -m set --match-set scanner-ip-set src -j DROP
iptables -D zone_wan_src_DROP -p tcp --syn -j SET --add-set scanner-ip-set src 2>/dev/null
iptables -I zone_wan_src_DROP 1 -p tcp --syn -j SET --add-set scanner-ip-set src
然后在/etc/config/firewall末尾加上
config include 'ban'
option type 'script'
option path '/etc/ban.user'
option family 'any'
option reload '1'
自己开的啥端口自己要记清楚啊,连错了可就把自己ban了[吐槽]
-------------------------------------------------------------------------------------------------------------------------------------------
步骤3、4可以简化,参见18楼,感谢monkeylab!
-------------------------------------------------------------------------------------------------------------------------------------------
这段时间看到好几个将端口映射到公网被黑的帖子,经过近一年的观察,自认为这个小妙招对付端口扫描还是很管用的,分享给大家。
欢迎提出改进意见
原理:
连接不存在的端口进小黑屋!ping我者一律小黑屋[恶魔]
注意事项:
1.仅针对openwrt
2.请安装ipset
3.端口转发请使用高端口号,不要使用默认端口
步骤:
1.防火墙基本设置如图
2.添加自定义规则如图
扫描ip关小黑屋24小时(86400秒),请自行修改
ipset create scanner-ip-set hash:ip timeout 86400
iptables -A input_wan_rule -p icmp --icmp-type 8 -j SET --add-set scanner-ip-set src
iptables -A input_wan_rule -p icmp --icmp-type 8 -j DROP
iptables -I input_wan_rule -p all -m set --match-set scanner-ip-set src -j DROP
iptables -I forwarding_wan_rule -p all -m set --match-set scanner-ip-set src -j DROP
3.修改/etc/init.d/firewall
添加的语句
iptables -I zone_wan_src_DROP -p tcp --syn -j SET --add-set scanner-ip-set src
在如下位置添加哦
4.修改/etc/hotplug.d/iface/20-firewall
添加的语句和步骤3一样
iptables -I zone_wan_src_DROP -p tcp --syn -j SET --add-set scanner-ip-set src
在如下位置添加哦
看看效果
2638个在小黑屋[偷笑]
看看效果
mark一下,感谢 Mark下备用 mark备用 收藏备用,楼主好人(手动斜眼 mark备用[傻笑] 先记号,备用 [傻笑]马克一下先
mark备用[再见] mark备用 mark备用 哪些烂人整天吃饱了没事扫描别人 mark,插眼,1024 ddns还能用吗这样 感觉还不错,学习了 本帖最后由 monkeylab 于 2022-12-16 20:56 编辑
额,3和4可以写成一个的,
新建个脚本比如/etc/ban.user
iptables -D zone_wan_src_DROP -p tcp --syn -j SET --add-set scanner-ip-set src 2>/dev/null
iptables -I zone_wan_src_DROP 1 -p tcp --syn -j SET --add-set scanner-ip-set src
然后在/etc/config/firewall末尾加上
config include 'ban'
option type 'script'
option path '/etc/ban.user'
option family 'any'
option reload '1'
防火墙启动和每次reload都会执行一次,效果是一样的。
学习了,谢谢楼主! 插眼学习 爱快直接搭建L2TP,,直接v回家[狂笑] 这是治标不治本,最好用open威皮恩之类的连回来 mark备用 mark备用 学习了,谢谢楼主! monkeylab 发表于 2022-12-16 20:52
额,3和4可以写成一个的,
新建个脚本比如/etc/ban.user
测试成功,感谢! martin_ni 发表于 2022-12-16 20:44
ddns还能用吗这样
不影响的 有ros防扫的吗?加了防扫,会影响外网连回来吗? zwb0619 发表于 2022-12-16 22:20
有ros防扫的吗?加了防扫,会影响外网连回来吗?
不懂ros,反正就是iptable那一套,试试呗。 Mark,复杂,一时半会儿搞不懂……
页:
[1]
2