скрытое сканирование портов nmap

[mithrusc]

Есть сервер с настроенным iptables раздающий интернет, все путем, только пока что не могу пресечь скрытый скан портов nmap

Код: [Выделить]

p1-5000 -T4 -sS -PN с этими ключами nmap говорит что хост поднят, хотя на пинг он не отвечает, простой скан говорит что он офлайн, да порты "фильтред" и закрыты, но когда проходит такой скан и обнаруживается что машина онлайн - сканирование продолжается идет бесконечный ip spoofing и дальнейшие сканы портов, лишняя нагрузка.
Была тут статья на хабре, пробовал, в том числе и то что писали люди в комментариях, это помогает, но не во всех случаях, можно где то подробно об этом почитать? есть ли действенный способ оградиться от такого сканирования(кроме выдергивания кабеля)?

[zibadi]

Вот эти правила справляются с этой задачей, сам проверял
120 - это время блокировки сканировщика в секундах
80,22 - это порты на которых есть работающие сервисы, если не поставить то будет блокировать при обращении к порту
iptables -A INPUT -m recent --rcheck --seconds 120 --name FUCKOFF -j DROP
iptables -A INPUT -p tcp -m multiport ! --dports 80,22 -m recent --set --name FUCKOFF -j DROP

[Axa-Ru]

Если есть торенты и мулы, то нужно добавить и их порты?

[zibadi]

в этом случае можно сделать так: 80,22,1024:65535

[Axa-Ru]

А смысл, если открываются все порты с 1024?

[zibadi]

если повесить службу на не стандартный порт, её будет невозможно вычислить, так как сканирование не даст результата