Rendre invisible un port au scanner de ports

Support Debian
#1

bonjour

y a t’il un moyen de rendre un port invisible au scanner, alors que celui apparait ouvert lors d’un scan ???

a+

#2

Quel intérêt ?
Si le port n’a pas lieu d’être ouvert, il ne faut pas l’ouvrir.

#3

salut

si le port est ouvert car fonctionnel
j’entre par le port 210 et je redirige vers le port 21 en local

#4

Des précisions sur cette configuration sont nécessaires.

#5

j’ai fait cela pour éviter d’avoir le port 21 ouvert sur le net
donc je me connecte de l’extérieur sur mon FTP avec le port 210 et je redirige
la trame sur le port 21 de ma DMZ

#6

Bonjour,

Du port fowarding ?

debian-administration.org/articles/73

#7

Concrètement, quel est le port ouvert que tu veux rendre invisible ? Et qu’entends-tu exactement par “invisible” ?

#8

@Pascal: je pense ('fin penser… vu l’heure… :005 ) que notre ami veut dire:
“Si un bourrin essaie avec nmap ou autre outils de “scan”, ben, le port 210 (de l’adresse “publique”) ne répondra pas qu’il y a du ftp derrière” … :unamused: ('fin… si j’ai bien compris… :whistle: )

@gilles974: du “port-knocking” peut-être? :think: :whistle: :unamused:

:006

#9

en gros num’s la bien résumé.

[quote=“PascalHambourg”]Concrètement, quel est le port ouvert que tu veux rendre invisible ? Et qu’entends-tu exactement par “invisible” ?
[/quote]

le port à rendre invisible = 210

si je teste mon firewall avec https://www.grc.com/x/ne.dll?bh0bkyd2
est de faire croire que le 210 est fermé (vert) au lieu de ouvert (rouge)
http://i.imgur.com/yrpnl.png

#10

Il n’est pas possible de différencier une demande de connexion légitime d’une sonde de scan de port. Donc à part filtrer en fonction de l’adresse source si celles de clients légitimes sont connues, ou le port knocking suggéré par Num’s, je ne vois pas…

#11

Salut,
J’aurais choisi un pot plus “élevé” que 210.
Les scans de ports dépassent rarement les 1056 premiers.

Ce n’est pas absolu comme règle évidemment, mais ça évite pas mal de tentatives.
Avec un fail2ban par dessus, je ne vois pas quoi craindre…

#12

merci à tous pour vos réponses

je vais voir cela de plus près

a+

#13

Bonjour,

Oups, je me suis trompé, c’est bien du port knocking : fr.wikipedia.org/wiki/Port_knocking

Une autre solution est d’ouvrir un port au delà du 50 000 et de fowarder celui-ci via ta box vers le port du serveur. C’est très rare un scan au delà du 50 000.

Sur certains serveurs FTP (bien cela ?), tu peux mettre des règles de bannissement quand il y a N erreurs de connexion à la suite. Si ce n’est pas la cas, tu pourrais ajouter fail2ban.