iptables bremst Portscan

[Blutschlumpf]

Hab folgendes "Problem" (bzw. such ne Erklärung fürs Phenomen):

2 Rechner
a) irgendein Linux-Rechner (Gentoo) mit nmap, der Rechner b scannt
b) Debian-iptables Testkandidat

vorher:

a# nmap -sT -p 1-65335 213.203.194.189

Starting nmap 3.55 ( http://www.insecure.org/nmap/ ) at 2004-10-31 22:31 CET
Interesting ports on mail.blutschlumpf.de (213.203.194.189):
(The 65326 ports scanned but not shown below are in state: closed)
PORT    STATE SERVICE
9/tcp   open  discard
13/tcp  open  daytime
22/tcp  open  ssh
25/tcp  open  smtp
37/tcp  open  time
80/tcp  open  http
143/tcp open  imap
443/tcp open  https
993/tcp open  imaps

Nmap run completed -- 1 IP address (1 host up) scanned in 9.823 seconds

Nun wollte ich mal iptables probieren und wollte ich alles außer ssh blocken mit

iptables -A INPUT -s 0.0.0.0/0 -p tcp --syn --dport ! 22 -j DROP

Klappt auch.
Mein Problem ist, dass der Portscan jetzt um ein hundertfaches länger dauert. In der Zeit wo ich vorher alle Ports teste schaff ich jetzt gerade mal an die 200.

Ich hab statt DROP auch mal REJECT mit diversen reject-types ausprobiert, ändert nix.

Ich hab auch mal andere rules ausprobiert, auch alle Ports, die vorher offen waren mal freigeschaltet, selbes Ergebnis.
Sobald ich die rules cleare läuft wieder flott wie vorher.

Nun kann ich mir das Phänonem nicht erklären. Das schaut ja aus als ob der irgendeinen timeout abwartet. Was bekommt der Scanner denn zurückgesendet wenn iptables gar nicht läuft.

Ich habs dann mal andersrum getestet (auf Rechner a läuft auch iptables) und den von b aus gescannt, dauert auch ewig, scheint iptables also Schuld zu haben

 

[Ganto]

hast du nur gerade diese regel eingegeben oder noch andere? habe das bei mir nämlich auch noch festgestellt. da ich aber auch packete herausfiltere, welche nicht korrekte tcp verbindungen sind, dachte ich es liege vielleicht an dem. nmap kann afaik auf etliche arten portscans machen.

ganto

 

[Blutschlumpf]

Habs erstmal mit der einen Regel probiert.

Das ist ein P4 @ 3,3GHz, der praktisch idle ist, also überlastet ist der sicher nicht
Und eine Rule für 65335 Pakete zu bearbeiten sollte keine unüberwindbare Herrausforderung sein.

Wie nmap den Scan durchführt dürfte ja egal sein, es geht ja vorher auch schnell und nmap sollte ja im Idealfall nicht wissen ob der Port einfach nicht benutzt wird oder iptables den blockt und sich demnach nicht anders verhalten.