나는 Linux Mint에 있습니다.
내 라우터에 공용 고정 주소가 할당되어 있고 토렌트를 위해 주어진 포트를 수동으로 전달했습니다. 따라서 UPnP를 통하지 않고 라우터와 전송 비트 토렌트 응용 프로그램에서 모두 비활성화했습니다.
전송이 포트가 열려 있음을 보여주는 의미에서 작동합니다. 그러나 전송이 닫히면 내가 이해하는 것처럼 포트도 마찬가지입니다.
그러나 iptables
전송이 닫혀 있지만에서 수락되는 새 패킷이 있습니다.
왜? 어떡해?
다음은 다음과 같습니다 iptables -L -v
.
# iptables -L -v
Chain INPUT (policy DROP 7514 packets, 585K bytes)
pkts bytes target prot opt in out source destination
251 10040 DROP all -- any any anywhere anywhere ctstate INVALID
4330 371K DROP icmp -- any any anywhere anywhere
0 0 DROP igmp -- any any anywhere anywhere
4394 850K ACCEPT all -- lo any anywhere anywhere
1324K 462M ACCEPT all -- any any anywhere anywhere ctstate RELATED,ESTABLISHED
6751 415K ACCEPT tcp -- any any anywhere anywhere tcp dpt:56874
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 1484K packets, 2391M bytes)
pkts bytes target prot opt in out source destination
그리고 1 분 후 :
# iptables -L -v
Chain INPUT (policy DROP 7869 packets, 611K bytes)
pkts bytes target prot opt in out source destination
251 10040 DROP all -- any any anywhere anywhere ctstate INVALID
4330 371K DROP icmp -- any any anywhere anywhere
0 0 DROP igmp -- any any anywhere anywhere
4437 863K ACCEPT all -- lo any anywhere anywhere
1324K 462M ACCEPT all -- any any anywhere anywhere ctstate RELATED,ESTABLISHED
6983 430K ACCEPT tcp -- any any anywhere anywhere tcp dpt:56874
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 1485K packets, 2391M bytes)
pkts bytes target prot opt in out source destination
댓글에 관해서는 :
netstat -nap | grep <my port number here>
이 명령은 빈 결과를 표시합니다.
포트가 닫 혔을 때 패킷을 드롭하는 것은 iptables의 일이 아닙니다. 이것은 iptables가없는 것처럼 정상적인 네트워크 스택의 일입니다. (정확하게 말하면 네트워크 스택은 패킷을 드롭하는 것이 아니라 상대방에게 수신 대기가 없음을 정중하게 알립니다.)
iptables가 패킷을 수락한다고해서 수신하는 것이 있다는 의미는 아닙니다.
업데이트 : 의견에서 언급했듯이 위험이 있습니다. 그러나 그것은 닫힌 포트에서 패킷을 받아들이는 것 자체가 아니라 다른 모든 포트와 비교했을 때이 포트의 동작 차이 에서 비롯됩니다 . 삭제 대 거부입니다. 해결책은 다른 모든 포트에서 패킷을 삭제하지 않고 네트워크 스택이 수행하는 것처럼 거부 하는 것입니다.
패킷이 TCP 인 경우를 사용 -j REJECT --reject-with tcp-reset
하고 UDP 및 기타 포트 기반 프로토콜의 경우를 사용 -j REJECT --reject-with icmp-port-unreachable
합니다. 이제 모든 간단한 DROP이 두 가지 규칙으로 분할되므로 거부를위한 새 체인을 만들고 이전에 드롭하려는 위치에 해당 체인으로 점프하는 것이 가장 좋습니다.
nmap
결과를 확인하려면 같은 portmapper를 사용하십시오 .
이 기사는 인터넷에서 수집됩니다. 재 인쇄 할 때 출처를 알려주십시오.
침해가 발생한 경우 연락 주시기 바랍니다[email protected] 삭제
몇 마디 만하겠습니다