openwrt防扫描小妙招

bingozb

受到18楼monkeylab启发，将步骤2、3、4的语句整合到ban.user脚本里
新建个脚本比如/etc/ban.user

1. #!/bin/sh
   
2. 
   
3. ipset create scanner-ip-set hash:ip timeout 86400
   
4. 
   
5. iptables -D input_wan_rule -p icmp --icmp-type 8 -j SET --add-set scanner-ip-set src 2>/dev/null
   
6. iptables -A input_wan_rule -p icmp --icmp-type 8 -j SET --add-set scanner-ip-set src
   
7. iptables -D input_wan_rule -p icmp --icmp-type 8 -j DROP 2>/dev/null
   
8. iptables -A input_wan_rule -p icmp --icmp-type 8 -j DROP
   
9. 
   
10. iptables -D input_wan_rule -p all -m set --match-set scanner-ip-set src -j DROP 2>/dev/null
    
11. iptables -I input_wan_rule -p all -m set --match-set scanner-ip-set src -j DROP
    
12. iptables -D forwarding_wan_rule -p all -m set --match-set scanner-ip-set src -j DROP 2>/dev/null
    
13. iptables -I forwarding_wan_rule -p all -m set --match-set scanner-ip-set src -j DROP
    
14. 
    
15. iptables -D zone_wan_src_DROP -p tcp --syn -j SET --add-set scanner-ip-set src 2>/dev/null
    
16. iptables -I zone_wan_src_DROP 1 -p tcp --syn -j SET --add-set scanner-ip-set src
    

复制代码

然后在/etc/config/firewall末尾加上

1. config include 'ban'
   
2.         option type 'script'
   
3.         option path '/etc/ban.user'
   
4.         option family 'any'
   
5.         option reload '1'

复制代码

自己开的啥端口自己要记清楚啊，连错了可就把自己ban了
-------------------------------------------------------------------------------------------------------------------------------------------

步骤3、4可以简化，参见18楼，感谢monkeylab！

-------------------------------------------------------------------------------------------------------------------------------------------

这段时间看到好几个将端口映射到公网被黑的帖子，经过近一年的观察，自认为这个小妙招对付端口扫描还是很管用的，分享给大家。
欢迎提出改进意见

原理：
连接不存在的端口进小黑屋！ping我者一律小黑屋

注意事项：
1.仅针对openwrt
2.请安装ipset
3.端口转发请使用高端口号，不要使用默认端口

步骤：
1.防火墙基本设置如图


2.添加自定义规则如图


扫描ip关小黑屋24小时(86400秒)，请自行修改

1. ipset create scanner-ip-set hash:ip timeout 86400
   
2. 
   
3. iptables -A input_wan_rule -p icmp --icmp-type 8 -j SET --add-set scanner-ip-set src
   
4. iptables -A input_wan_rule -p icmp --icmp-type 8 -j DROP
   
5. 
   
6. iptables -I input_wan_rule -p all -m set --match-set scanner-ip-set src -j DROP
   
7. iptables -I forwarding_wan_rule -p all -m set --match-set scanner-ip-set src -j DROP
   

复制代码

3.修改/etc/init.d/firewall
添加的语句

1. iptables -I zone_wan_src_DROP -p tcp --syn -j SET --add-set scanner-ip-set src

复制代码

在如下位置添加哦


4.修改/etc/hotplug.d/iface/20-firewall
添加的语句和步骤3一样

1. iptables -I zone_wan_src_DROP -p tcp --syn -j SET --add-set scanner-ip-set src

复制代码

在如下位置添加哦



看看效果

2638个在小黑屋

bingozb

看看效果

星河

mark一下，感谢

flow

Mark下备用

weston

mark备用

大头吃小头

收藏备用，楼主好人（手动斜眼

DASINIX

mark备用

ccy5649

先记号,备用

285480731

马克一下先

15910939106

mark备用

dbql

mark备用

chenhz1985

mark备用

十年一刻

哪些烂人整天吃饱了没事扫描别人

BONBONBON

mark，插眼，1024

martin_ni

ddns还能用吗这样

szt136

感觉还不错，学习了

monkeylab

额，3和4可以写成一个的，
新建个脚本比如/etc/ban.user

1. iptables -D zone_wan_src_DROP -p tcp --syn -j SET --add-set scanner-ip-set src 2>/dev/null
   
2. iptables -I zone_wan_src_DROP 1 -p tcp --syn -j SET --add-set scanner-ip-set src

复制代码

然后在/etc/config/firewall末尾加上

1. config include 'ban'
   
2.         option type 'script'
   
3.         option path '/etc/ban.user'
   
4.         option family 'any'
   
5.         option reload '1'

复制代码

防火墙启动和每次reload都会执行一次，效果是一样的。

lastkiss

学习了，谢谢楼主！

wanjie41

插眼学习

哔了个狗狗

爱快直接搭建L2TP,,直接v回家

nn1122

这是治标不治本，最好用open威皮恩之类的连回来

叫我悠扬

mark备用

skystars

mark备用

szyocos

学习了，谢谢楼主！

bingozb

monkeylab 发表于 2022-12-16 20:52
额，3和4可以写成一个的，
新建个脚本比如/etc/ban.user

测试成功，感谢！

bingozb

martin_ni 发表于 2022-12-16 20:44
ddns还能用吗这样

不影响的

zwb0619

有ros防扫的吗？加了防扫，会影响外网连回来吗？

bingozb

zwb0619 发表于 2022-12-16 22:20
有ros防扫的吗？加了防扫，会影响外网连回来吗？

不懂ros，反正就是iptable那一套，试试呗。

逃学生

Mark，复杂，一时半会儿搞不懂……