<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Hello,<br><div><br></div><div>I had an interesting abuse notification that someone has run a netstat through our VPN.</div><div><br></div><div>> time                protocol src_ip src_port          dest_ip dest_port<br>> ---------------------------------------------------------------------------<br>> Tue Jul 30 13:38:01 2019 UDP 136.243.xxx.xxx 21346 =>    172.20.10.17 21346<br>> Tue Jul 30 13:38:01 2019 UDP 136.243.xxx.xxx 21346 =>    172.20.10.19 21346<br></div><div><br></div><div>I was wondering if there is a good way to block all VPN users from running hacker tools such as netstat (port scanning) altogether.  Is there a reliable way to do that with iptables?</div><div><br></div><div>I came across this snippet that should block port scans, but I'm not sure if that would block a VPN user after all since the VPN traffic is masqueraded.</div><div><br></div><div><font face="courier new, monospace"><span style="font-size:16px;color:rgb(49,49,51)">iptables -A port-scan -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j RETURN</span><br style="font-size:16px;box-sizing:border-box;color:rgb(49,49,51)"><span style="font-size:16px;color:rgb(49,49,51)">iptables -A port-scan -j DROP --log-level 6</span><br style="font-size:16px;box-sizing:border-box;color:rgb(49,49,51)"><span style="font-size:16px;color:rgb(49,49,51)">iptables -A specific-rule-set -p tcp --syn -j syn-flood</span><br style="font-size:16px;box-sizing:border-box;color:rgb(49,49,51)"><span style="font-size:16px;color:rgb(49,49,51)">iptables -A specific-rule-set -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j port-scan</span></font><br></div><div><span style="font-size:16px;color:rgb(49,49,51);font-family:Roboto,open-sans,sans-serif"><br></span></div>Any suggestions, please?<div>Many Thanks,</div><div>Houman</div><div><br></div><div><br></div><div><br></div></div></div></div></div>