[Comm] iptables, port 0 и Stealth (blocked ports, REJECT)

Сб Мар 26 20:38:29 MSK 2005

Здравствуйте!

После напряжения одеревенелых мозгов выбрал для простейшего шлюза такой  
вариант настройки таблицы filter (как мне кажется, довольно простой и не  
очень дырявый).
Привожу фрагмент файла /etc/sysconfig/iptables, связанный с таблицей  
filter:

# Generated by iptables-save v1.3.1 on Sat Mar 26 19:18:44 2005
*filter
:INPUT DROP [2263:101724]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [35025:2403004]
[329:17593] -A INPUT -i lo -j ACCEPT
[34426:37550376] -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j  
ACCEPT
[891:148096] -A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
[9:756] -A INPUT -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT
[66:4100] -A OUTPUT -o lo -j ACCEPT
COMMIT

То есть разрешение в обе стороны для lo и отфильтровка "своих" пакетов в  
протоколах tcp, udp и icmp (хотя можно было, наверное в одну строчку с "-p  
all") и глобальное DROP для цепочки INPUT.

Стал проверять на онлайн-сканнерах типа http://scan.sygatetech.com и  
https://grc.com/x/ne.dll?bh0bkyd2

Sygate в принципе остался доволен моей защитой по различным тестам, в т.ч.  
и Stealth, а Shields UP не совсем. Часть из сканируемых портов не Blocked,  
а Closed. И цветная диаграмма сканирования портов от 0 до 1055 была  
сине-зеленой (синий - Closed, зеленый - Blocked), один порт 0 - просто  
закрыт и потому виден (?? - см. лог ниже)). Порты с 1 по 266, 445 и с 1024  
по 1055 - Blocked, т.е. невидим, все остальное - closed.

Еще один stealth-тест:
GRC Port Authority Report created on UTC: 2005-03-26 at 16:30:26

Results from scan of ports: 0, 21-23, 25, 79, 80, 110, 113,
                             119, 135, 139, 143, 389, 443, 445,
                             1002, 1024-1030, 1720, 5000

     0 Ports Open
     1 Ports Closed
    25 Ports Stealth
---------------------
    26 Ports Tested

NO PORTS were found to be OPEN.

The port found to be CLOSED was: 0

Other than what is listed above, all ports are STEALTH.

TruStealth: FAILED - NOT all tested ports were STEALTH,
                    - Received one or more unsolicited packets,
                    - NO Ping reply (ICMP Echo) was received.

После всего этого у меня возникли следующие вопросы

1. Что за порт 0 и как его закрывать?
2. Нужно ли добиваться, чтобы по таким онлайн-тестам все порты от 0 до  
1055 были бы BLOCKED (Stealth) (в случае теста Shields UP все порты на  
диаграмме в зеленом цвете)?
3. Насколько жизнеспособна (недырява) таблица filter в моем исполнении для  
простейшего шлюза с одной задачей - доступ в интернет для локальной сети.

-- 
С уважением, Владимир Гусев