使用iptables设定一些安全防护功能(1)
点击次数:25 次 发布日期:2008-11-29 13:36:53 作者:源代码网
|
作者: kenduest (小州) 常看到有人乱使用 port scan 软件,(ex:nmap) 来乱扫他人的 port, 实在很讨厌 @_@ 这里提供几个方式,透过 linux kernel 2.4 的新核心机制 + iptables 来进行一些设限: # NMAP FIN/URG/PSH iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP # Xmas Tree iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP # Another Xmas Tree iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP # Null Scan(possibly) iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP # SYN/RST iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP # SYN/FIN -- Scan(possibly) iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP 这是针对一些像是使用 scan 软件,配合所谓的 Stealth 等机制去乱扫他人 主机时,可以把这些封包丢弃不处理。那对方一扫就卡死了,或者是 要等联机 timeout 才能够继续工作,拉长 scan 所需的时间。 源代码网供稿. |
