Многие, кто занимается администрированием серверов, знают: настроить файрвол — это половина дела. Вторая половина — убедиться, что он работает именно так, как задумано. Сегодня разберем, как тестировать конфигурацию файрвола с помощью классических инструментов: Nmap и Tcpdump. Эти утилиты есть в любом нормальном дистрибутиве, они стабильны как скала и позволяют провести глубокий анализ сетевого трафика. Разберемся, как правильно их использовать, чтобы не просто “проверить, работает ли”, а действительно понять, что происходит с пакетами на разных уровнях.

Зачем вообще тестировать файрвол?

Вопрос может показаться очевидным, но на практике многие админы настраивают iptables или ufw, запускают сервис и считают, что всё работает. А потом удивляются, почему атаки проходят или почему легитимный трафик блокируется. Тестирование файрвола дает нам:

• Понимание реального поведения правил
• Выявление “дыр” в безопасности
• Возможность отладки сложных конфигураций
• Документирование фактического состояния системы

Как это работает: теория перед практикой

Nmap — это сканер портов, который умеет не только находить открытые порты, но и определять типы файрволов, их конфигурацию и даже версии сервисов. Tcpdump — это перехватчик пакетов, который показывает, что реально происходит на сетевом уровне. Вместе они дают полную картину.

Базовый принцип тестирования:

• Запускаем tcpdump на сервере для мониторинга трафика
• С другой машины (или с той же) запускаем nmap с различными опциями
• Анализируем результаты обоих инструментов

Подготовка тестового окружения

Для нормального тестирования нужны как минимум два сервера или один сервер и рабочая машина. Если у вас еще нет подходящего окружения, можно взять VPS для тестов или выделенный сервер для более серьезных задач.

Устанавливаем необходимые пакеты:

# Ubuntu/Debian
sudo apt update
sudo apt install nmap tcpdump

# CentOS/RHEL
sudo yum install nmap tcpdump

# или для новых версий
sudo dnf install nmap tcpdump

Базовое тестирование с Nmap

Начнем с простого сканирования. Запускаем tcpdump на целевом сервере:

sudo tcpdump -i eth0 -nn -v host [IP_клиента]

А с клиентской машины делаем базовое сканирование:

nmap -sS -p 22,80,443 [IP_сервера]

Флаг -sS означает SYN-сканирование (стелс-сканирование), -p указывает конкретные порты. В выводе tcpdump мы увидим, как сервер реагирует на попытки подключения.

Продвинутые техники сканирования

Теперь попробуем более изощренные методы. Многие файрволы по-разному реагируют на различные типы пакетов:

# UDP-сканирование
nmap -sU -p 53,123,161 [IP_сервера]

# FIN-сканирование (обходит некоторые файрволы)
nmap -sF -p 1-1000 [IP_сервера]

# Сканирование с фрагментацией пакетов
nmap -f -sS -p 22,80,443 [IP_сервера]

# Обнаружение файрвола
nmap -sA -p 22,80,443 [IP_сервера]

Каждый из этих методов может дать разные результаты в зависимости от конфигурации файрвола. Особенно интересно ACK-сканирование (-sA) — оно помогает определить, какие порты фильтруются файрволом.

Анализ результатов: что означают статусы портов

Nmap может показать несколько статусов портов, и каждый из них говорит о поведении файрвола:

Статус	Значение	Реакция файрвола
open	Порт открыт и принимает соединения	Пропускает трафик
closed	Порт закрыт, но отвечает RST	Пропускает пакеты, но сервис не запущен
filtered	Порт фильтруется	Блокирует пакеты
unfiltered	Порт не фильтруется	Пропускает, но статус службы неизвестен

Практические примеры тестирования

Рассмотрим несколько реальных кейсов:

Кейс 1: Тестирование DROP vs REJECT

Создадим два правила в iptables и посмотрим, как они ведут себя:

# Правило DROP
sudo iptables -A INPUT -p tcp --dport 8080 -j DROP

# Правило REJECT
sudo iptables -A INPUT -p tcp --dport 8081 -j REJECT

Запускаем tcpdump и тестируем:

nmap -sS -p 8080,8081 [IP_сервера]

Порт 8080 покажет статус “filtered” (никакого ответа), а 8081 — “closed” (получен RST). В tcpdump это будет выглядеть по-разному:

# Для DROP - только входящий SYN, ответа нет
12:34:56.789 IP client.12345 > server.8080: Flags [S], seq 1234567890

# Для REJECT - SYN и ответный RST
12:34:56.789 IP client.12345 > server.8081: Flags [S], seq 1234567890
12:34:56.790 IP server.8081 > client.12345: Flags [R.], seq 0, ack 1234567891

Кейс 2: Обнаружение rate limiting

Многие файрволы имеют защиту от сканирования. Проверим это:

nmap -sS -T5 --max-rate 1000 -p 1-1000 [IP_сервера]

Если есть rate limiting, в tcpdump мы увидим, что после определенного количества пакетов сервер перестает отвечать или начинает отвечать по-другому.

Углубленный анализ с Tcpdump

Tcpdump — это швейцарский нож для анализа сетевого трафика. Несколько полезных команд:

# Мониторинг только TCP-трафика на порт 80
sudo tcpdump -i eth0 -nn 'tcp port 80'

# Показать содержимое пакетов
sudo tcpdump -i eth0 -nn -X 'tcp port 80'

# Сохранить в файл для последующего анализа
sudo tcpdump -i eth0 -nn -w capture.pcap

# Фильтр по флагам TCP (только SYN пакеты)
sudo tcpdump -i eth0 -nn 'tcp[tcpflags] & tcp-syn != 0'

# Мониторинг ICMP (ping)
sudo tcpdump -i eth0 -nn icmp

Скрипты для автоматизации

Создадим простой скрипт для автоматического тестирования:

#!/bin/bash

TARGET_IP="192.168.1.100"
PORTS="22,80,443,8080,3306"
LOGFILE="/tmp/firewall_test_$(date +%Y%m%d_%H%M%S).log"

echo "Тестирование файрвола на $TARGET_IP" | tee $LOGFILE
echo "Порты: $PORTS" | tee -a $LOGFILE
echo "----------------------------------------" | tee -a $LOGFILE

# TCP SYN сканирование
echo "TCP SYN сканирование:" | tee -a $LOGFILE
nmap -sS -p $PORTS $TARGET_IP | tee -a $LOGFILE

# UDP сканирование
echo "UDP сканирование:" | tee -a $LOGFILE
nmap -sU -p 53,123,161 $TARGET_IP | tee -a $LOGFILE

# ACK сканирование для определения файрвола
echo "ACK сканирование (обнаружение файрвола):" | tee -a $LOGFILE
nmap -sA -p $PORTS $TARGET_IP | tee -a $LOGFILE

# Проверка ICMP
echo "ICMP проверка:" | tee -a $LOGFILE
ping -c 3 $TARGET_IP | tee -a $LOGFILE

echo "Результаты сохранены в $LOGFILE"

Альтернативные инструменты

Хотя Nmap и Tcpdump — это классика, есть и другие полезные инструменты:

• Masscan — очень быстрый сканер портов, хорош для больших сетей
• Wireshark — GUI-версия для анализа трафика
• Hping3 — для создания кастомных пакетов
• Netstat/ss — для проверки локальных портов
• Iptraf-ng — для мониторинга трафика в реальном времени

Ссылки на проекты:

• Nmap: https://nmap.org/
• Tcpdump: https://www.tcpdump.org/
• Masscan: https://github.com/robertdavidgraham/masscan

Интересные факты и нестандартные применения

Вот несколько интересных моментов, которые могут пригодиться:

• Idle scan — техника сканирования через зомби-хост: nmap -sI zombie_host target_host
• Обнаружение IDS/IPS — многие системы обнаружения вторжений реагируют на определенные паттерны сканирования
• IPv6 тестирование — многие забывают про IPv6: nmap -6 -sS fe80::1
• Тестирование через прокси — можно использовать SOCKS-прокси для обхода ограничений

Автоматизация и интеграция

Тестирование файрвола можно интегрировать в CI/CD пайплайны. Например, с помощью Ansible:

---
- name: Тест файрвола
  hosts: webservers
  tasks:
    - name: Проверка открытых портов
      shell: nmap -sS -p 80,443 {{ inventory_hostname }}
      register: nmap_result
      delegate_to: localhost

    - name: Анализ результатов
      debug:
        msg: "{{ nmap_result.stdout }}"

Распространенные ошибки и как их избежать

• Тестирование только изнутри — обязательно проверяйте доступность с внешних IP
• Игнорирование UDP — многие забывают про UDP-сервисы
• Отсутствие логирования — всегда сохраняйте результаты тестов
• Тестирование в продакшене — используйте тестовые окружения

Производительность и масштабирование

Для больших сетей стоит обратить внимание на параметры производительности:

# Быстрое сканирование (может быть неточным)
nmap -T5 --min-rate 1000 -p 80,443 target_network/24

# Медленное, но точное сканирование
nmap -T1 --max-rate 10 -p 1-65535 target_host

Сравнение времени выполнения для сети /24:

Метод	Время выполнения	Точность
nmap -T5	~5 минут	85%
nmap -T3 (по умолчанию)	~15 минут	95%
masscan	~2 минуты	90%

Заключение и рекомендации

Тестирование файрвола с помощью Nmap и Tcpdump — это не просто хорошая практика, это необходимость. Эти инструменты дают полную картину того, как ваш файрвол ведет себя в реальных условиях.

Когда использовать:

• После каждого изменения правил файрвола
• При подозрении на проблемы с сетевой безопасностью
• В рамках регулярного аудита безопасности
• При отладке сетевых проблем

Где применять:

• В тестовых окружениях — всегда
• В продакшене — осторожно, с согласованием
• В рамках penetration testing
• При миграции серверов

Главное правило: тестируйте комплексно, документируйте результаты и никогда не полагайтесь только на настройки “по умолчанию”. Файрвол — это не “поставил и забыл”, это живая система, которая требует постоянного контроля и тестирования.

Помните: безопасность — это процесс, а не состояние. Регулярное тестирование файрвола поможет вам спать спокойно, зная, что ваши серверы действительно защищены так, как вы думаете.

---

В этой статье собрана информация и материалы из различных интернет-источников. Мы признаем и ценим работу всех оригинальных авторов, издателей и веб-сайтов. Несмотря на то, что были приложены все усилия для надлежащего указания исходного материала, любая непреднамеренная оплошность или упущение не являются нарушением авторских прав. Все упомянутые товарные знаки, логотипы и изображения являются собственностью соответствующих владельцев. Если вы считаете, что какой-либо контент, использованный в этой статье, нарушает ваши авторские права, немедленно свяжитесь с нами для рассмотрения и принятия оперативных мер.

Данная статья предназначена исключительно для ознакомительных и образовательных целей и не ущемляет права правообладателей. Если какой-либо материал, защищенный авторским правом, был использован без должного упоминания или с нарушением законов об авторском праве, это непреднамеренно, и мы исправим это незамедлительно после уведомления. Обратите внимание, что переиздание, распространение или воспроизведение части или всего содержимого в любой форме запрещено без письменного разрешения автора и владельца веб-сайта. Для получения разрешений или дополнительных запросов, пожалуйста, свяжитесь с нами.