Как провер��ть конфигурацию брандмауэра с Nmap в Linux

• Вступление
• Предпосылки
• Установка
• использование
• Вывод

Вступление

Nmap - бесплатный и очень популярный сканер сетевой безопасности. Это простой в использовании и очень мощный. В этой статье описывается установка и использование Nmap для тестирования конфигураций брандмауэра. Несмотря на то, что вы можете проверить, какие порты открыты через брандмауэр, тестирование с помощью сканирования может быть очень полезным. Например, если у вас есть правило брандмауэра, которое запрещает внешний доступ к вашей службе MariaDB, Nmap может помочь вам убедиться, что брандмауэр работает должным образом.

ПРИМЕЧАНИЕ. Никогда не запускайте Nmap на не принадлежащих вам IP-адресах, если у вас нет явного разрешения на это в соответствии с политикой допустимого использования Vultr.com («AUP»).

Предпосылки

• Vultr VPS с дистрибутивом Linux
• Корневой доступ к вашему VPS через SSH или консоль.

Установка

Установите Nmap на VPS, который вы хотите проверить.

• Debian и дистрибутивы на основе Debian: apt install -y nmap
• CentOS и RHEL: yum install -y nmap

использование

Во-первых, вам нужно знать IP-адрес вашего VPS. Вам следует использовать свой общедоступный IP-адрес, поскольку цель состоит в том, чтобы протестировать общедоступную конфигурацию брандмауэра. Эта статья будет использоваться 203.0.113.1в качестве примера. Убедитесь, что вы заменили его своим собственным IP-адресом.

Тестирование одного TCP-порта.

Команда для тестирования одного порта выглядит следующим образом:

nmap -p 80 203.0.113.1

В этом примере 80это номер порта TCP, который вы хотите проверить.

Пример вывода:

root@debian1:~# nmap -p 80 203.0.113.1

Starting Nmap 7.40 at 2018-10-19 00:00 EEST
Nmap scan report for 203.0.113.1
Host is up (0.000097s latency).
PORT   STATE SERVICE
80/tcp open  http

Nmap done: 1 IP address (1 host up) scanned in 0.36 seconds

Тестирование всех TCP-портов.

Следующая команда проверит все порты TCP ( -p-) и сохранит вывод в nmap.out.

nmap -oN nmap.out -p- 203.0.113.1 

Тестирование всех TCP-портов и определение версии.

Следующая команда проверит все порты TCP ( -p-), попытается определить, какие службы и какие версии запущены ( -sV), и сохранит выходные данные nmap.out.

nmap -sV -oN nmap.out -p- 203.0.113.1 

Тестирование всех портов TCP и выполнение основных проверок безопасности.

Следующая команда проверит все порты TCP ( -p-), выполнит базовые проверки безопасности на открытых портах ( -sC) и сохранит вывод в nmap.out.

nmap -sC -oN nmap.out -p- 203.0.113.1 

Эти проверки безопасности особенно полезны при обнаружении распространенных уязвимостей и неправильной конфигурации.

Другие полезные опции

-v, -vv, -vvvПриведет к более подробному выводу.

-sU используется для сканирования UDP.

Вывод

Запуск nmap не всегда необходим, но может быть очень полезен, особенно когда существуют сложные конфигурации сети и правила брандмауэра.