bisa di coba shorewall yg lebih manusiawi (tapi akan lebih baik klo memahami iptables terlebih dahulu). untuk rules yg kompleks saya biasa pake shorewall, biar gak mumet.
pendekatan yg saya pake : blok semua paket, kemudian buka yg diperlukan. 2008/12/15 medwinz <[email protected]>: > 2008/12/15 doby nurcahyo <[email protected]>: >> Saya ga begitu mudeng dengan iptables, apakah dengan cara ini bisa >> block port scanner (nmap, dst) bang?. >> Terimakasih sekali lagi. > > Mas Doby banyak resource di Internet untuk belajar TCP/IP :-) > Kalau saya jelasin di sini bisa dua malam gak kelar-kelar :-D > > Sebagai permulaan, cara komputer berinteraksi satu dengan yang lain > dengan TCP connection mempunyai provisi yang khusus yang disebut 3-way > handshake (well, there is also 4-way handshake actually). > > 1. (B) --> [SYN] --> (A) SYN=synchronize > 2. (B) <-- [SYN/ACK] <--(A) SYN/ACK=synchronize/acknowledge > 3. (B) --> [ACK] --> (A) > > Flag akan ditandai (bit set) pada paket untuk mengetahui apakah paket > tersebut SYN, SYN/ACK, ACK dll. Firewall akan menganalisa setiap paket > tersebut. > > Kalau suatu paket tidak melalui proses ini patut dicurigai kalau paket > itu adalah paket yang jahat :-) > Firewall bekerja dengan mengawasi mulai dibukanya koneksi tersebut > dengan memperhatikan apakah suatu paket diawali deng SYN bit set pada > awal koneksi dan selanjutnya memiliki ACK bit set setelah > acknowledgement pada langkah ke-tiga. > > Port scanning biasanya dilakukan dengan apa yg disebut Xmas packet > (kombinasi FIN/URG/PSH [0]), SYN/RST atau RST/SYN, SYN/FIN atau > FIN/SYN, null packet (ALL atau NONE), FIN scan (FIN/ACK atau FIN). > Script yang saya tulis di email sebelumnya memerintahkan iptables > untuk me-log paket-paket tersebut dan men-drop nya. > > Silakan dicoba, anda set iptables anda dan setelah itu lakukan > scanning dengan nmap, dan cek apa berhasil di drop. Tentunya jangan > berharap ini adalah sebuah "silver bullet", banyak sekali orang pandai > di luar sana. Waktu ada Google summer code kemarin udah ada yang > nyempurnain nmap lho :-D > > [0] FIN = finish, URG=urgent, PSH=push, RST=reset > > > salam, > medwinz > > > -- > > Bob Hope - "I don't feel old. I don't feel anything till noon. That's > when it's time for my nap." > _______________________________________________ > milis mailing list > [email protected] > http://lists.opensuse-id.org/listinfo.cgi/milis-opensuse-id.org > -- Best Regards, Cahyo Purnomo http://kampungmadura.com http://debiansurabaya.com http://niceblogger.net _______________________________________________ milis mailing list [email protected] http://lists.opensuse-id.org/listinfo.cgi/milis-opensuse-id.org
