iptables가 닫힌 포트에서 패킷을받는 이유는 무엇입니까?

debugcn 에 게시 Dev

LinuxSecurityFreak

나는 Linux Mint에 있습니다.

내 라우터에 공용 고정 주소가 할당되어 있고 토렌트를 위해 주어진 포트를 수동으로 전달했습니다. 따라서 UPnP를 통하지 않고 라우터와 전송 비트 토렌트 응용 프로그램에서 모두 비활성화했습니다.

전송이 포트가 열려 있음을 보여주는 의미에서 작동합니다. 그러나 전송이 닫히면 내가 이해하는 것처럼 포트도 마찬가지입니다.

그러나 iptables전송이 닫혀 있지만에서 수락되는 새 패킷이 있습니다.

왜? 어떡해?

다음은 다음과 같습니다 iptables -L -v.

# iptables -L -v

Chain INPUT (policy DROP 7514 packets, 585K bytes)
 pkts bytes target     prot opt in     out     source               destination         
  251 10040 DROP       all  --  any    any     anywhere             anywhere             ctstate INVALID
 4330  371K DROP       icmp --  any    any     anywhere             anywhere            
    0     0 DROP       igmp --  any    any     anywhere             anywhere            
 4394  850K ACCEPT     all  --  lo     any     anywhere             anywhere            
1324K  462M ACCEPT     all  --  any    any     anywhere             anywhere             ctstate RELATED,ESTABLISHED
 6751  415K ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:56874

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 1484K packets, 2391M bytes)
 pkts bytes target     prot opt in     out     source               destination

그리고 1 분 후 :

# iptables -L -v

Chain INPUT (policy DROP 7869 packets, 611K bytes)
 pkts bytes target     prot opt in     out     source               destination         
  251 10040 DROP       all  --  any    any     anywhere             anywhere             ctstate INVALID
 4330  371K DROP       icmp --  any    any     anywhere             anywhere            
    0     0 DROP       igmp --  any    any     anywhere             anywhere            
 4437  863K ACCEPT     all  --  lo     any     anywhere             anywhere            
1324K  462M ACCEPT     all  --  any    any     anywhere             anywhere             ctstate RELATED,ESTABLISHED
 6983  430K ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:56874

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 1485K packets, 2391M bytes)
 pkts bytes target     prot opt in     out     source               destination

댓글에 관해서는 :

netstat -nap | grep <my port number here>

이 명령은 빈 결과를 표시합니다.

토마스 에커

포트가 닫 혔을 때 패킷을 드롭하는 것은 iptables의 일이 아닙니다. 이것은 iptables가없는 것처럼 정상적인 네트워크 스택의 일입니다. (정확하게 말하면 네트워크 스택은 패킷을 드롭하는 것이 아니라 상대방에게 수신 대기가 없음을 정중하게 알립니다.)

iptables가 패킷을 수락한다고해서 수신하는 것이 있다는 의미는 아닙니다.

업데이트 : 의견에서 언급했듯이 위험이 있습니다. 그러나 그것은 닫힌 포트에서 패킷을 받아들이는 것 자체가 아니라 다른 모든 포트와 비교했을 때이 포트의 동작 차이 에서 비롯됩니다 . 삭제 대 거부입니다. 해결책은 다른 모든 포트에서 패킷을 삭제하지 않고 네트워크 스택이 수행하는 것처럼 거부 하는 것입니다.

패킷이 TCP 인 경우를 사용 -j REJECT --reject-with tcp-reset하고 UDP 및 기타 포트 기반 프로토콜의 경우를 사용 -j REJECT --reject-with icmp-port-unreachable합니다. 이제 모든 간단한 DROP이 두 가지 규칙으로 분할되므로 거부를위한 새 체인을 만들고 이전에 드롭하려는 위치에 해당 체인으로 점프하는 것이 가장 좋습니다.

nmap결과를 확인하려면 같은 portmapper를 사용하십시오 .

이 기사는 인터넷에서 수집됩니다. 재 인쇄 할 때 출처를 알려주십시오.

침해가 발생한 경우 연락 주시기 바랍니다[email protected] 삭제

에서 수정2021-06-1

몇 마디 만하겠습니다

0리뷰

로그인참여 후 검토

Related 관련 기사

기사