tcp扩展模块有-tcp-flags选项,它可以根据TCP头部的“标识位”来匹配。
Nmap是主动扫描工具,用于对指定的主机进行扫描
利用iptables中的tcp-flags阻止kali的nmap扫描
iptables -t filter -I INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT
iptables -t filter -I OUTPUT -p tcp --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN,ACK -j REJECT
iptables -t filter -I INPUT -p tcp --tcp-flags ALL SYN -j REJECT
iptables -t filter -I INPUT -s 192.168.150.133 -p tcp --dport 1: --tcp-flags ALL ACK -j REJECT
使用kali进行nmap扫描,检测是否通过iptables做到有效防御