Com provar la configuració del tallafoc amb Nmap a Linux

Introducció

Nmap és un escàner de seguretat de xarxa gratuït i molt popular. És fàcil d'utilitzar i molt potent. En aquest article s'explicarà la instal·lació i l'ús de Nmap per provar les configuracions del tallafoc. Tot i que podeu comprovar quins ports estan oberts a través del vostre tallafoc, provar-lo escanejant pot ser molt útil. Per exemple, si teniu una regla de tallafoc que desactiva l'accés extern al vostre servei MariaDB, Nmap us pot ajudar a assegurar-vos que el tallafoc funciona com es preveia.

NOTA: Mai no hauríeu d'executar Nmap en adreces IP que no us pertanyin, tret que tingueu permís explícit per fer-ho, segons la Política d'ús acceptable ('AUP') de Vultr.com.

Requisits previs

• Un Vultr VPS amb una distribució Linux
• Accés arrel al vostre VPS, mitjançant SSH o consola.

Instal·lació

Instal·leu Nmap al VPS que voleu provar.

• Distribucions basades en Debian i Debian: apt install -y nmap
• CentOS i RHEL: yum install -y nmap

Ús

Primer, heu de conèixer l'adreça IP del vostre VPS. Hauríeu d'utilitzar la vostra adreça IP pública, ja que l'objectiu és provar la configuració del tallafoc de cara al públic. Aquest article s'utilitzarà 203.0.113.1com a exemple. Assegureu-vos de substituir-lo per la vostra pròpia adreça IP.

Prova un únic port TCP.

L'ordre per provar un únic port és la següent:

nmap -p 80 203.0.113.1

En aquest exemple, 80és el número de port TCP que voleu provar.

Exemple de sortida:

root@debian1:~# nmap -p 80 203.0.113.1

Starting Nmap 7.40 at 2018-10-19 00:00 EEST
Nmap scan report for 203.0.113.1
Host is up (0.000097s latency).
PORT   STATE SERVICE
80/tcp open  http

Nmap done: 1 IP address (1 host up) scanned in 0.36 seconds

Provant tots els ports TCP.

La següent comanda provarà tots els ports TCP ( -p-) i desarà la sortida a nmap.out.

nmap -oN nmap.out -p- 203.0.113.1 

Prova tots els ports TCP i detecta la versió.

La següent comanda provarà tots els ports TCP ( -p-), intentarà detectar quins serveis i quines versions s'estan executant ( -sV) i desarà la sortida a nmap.out.

nmap -sV -oN nmap.out -p- 203.0.113.1 

Proveu tots els ports TCP i executeu comprovacions de seguretat bàsiques.

La següent comanda provarà tots els ports TCP ( -p-), executarà comprovacions bàsiques de seguretat als ports oberts ( -sC) i desarà la sortida a nmap.out.

nmap -sC -oN nmap.out -p- 203.0.113.1 

Aquestes comprovacions de seguretat són especialment útils per detectar vulnerabilitats comunes i configuracions incorrectes.

Altres opcions útils

-v, -vv, -vvvcondueixen a una sortida cada cop més detallada.

-sU s'utilitza per a exploracions UDP.

Conclusió

Executar nmap no sempre és necessari, però pot ser molt útil, especialment quan hi ha configuracions de xarxa complicades i regles de tallafocs.