Wendell, Com relação ao "OS Fingerprinting" do nmap (opção -O), que tenta descobrir o sistema operacional do host, é possível bloquear sim usando o PF, basta bloquear os pacotes TCP que tiverem flags que podem levar à identificação do SO (coloque isso no pf.conf antes das outras regras):
set optimization normal scrub in all scrub out all no-df max-mss 1492 random-id block in quick on em0 proto tcp from any to any flags FUP block in quick on em0 proto tcp from any to any flags FUP/WEUAPRSF block in quick on em0 proto tcp from any to any flags WEUAPRSF/WEUAPRSF block in quick on em0 proto tcp from any to any flags SRAFU/WEUAPRSF block in quick on em0 proto tcp from any to any flags /WEUAPRSF block in quick on em0 proto tcp from any to any flags SR/SR block in quick on em0 proto tcp from any to any flags SF/SF Quanto a bloquear a identificação das portas abertas no servidor, o ideal é usar nelas o "port knocking". O conceito é simples, e é muito usado para fechar o SSH por exemplo: um daemon fica analisando o log do firewall (PF, no caso) esperando uma sequência de "knocks" em portas pré-definidas, se a sequência estiver certa, ele libera temporariamente aquela porta apenas para o seu IP. Dessa forma o nmap acharia que elas estão fechadas. A melhor implementação é o DoorMan [ http://doorman.sourceforge.net ], o port é o security/doorman [ http://www.freshports.org/security/doorman/ ]. Funciona com PF ou IPFW. Att., Rainer Alves BrasilTelecom Wendell Martins Borges wrote: >Estou com uma duvida, tem como bloquear, usando PF a ação do nmap ? > > >Anteciosamente, > >Wendell Martins Borges [perlporter] > > > _______________________________________________ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br