使用iptables设定一些安全防护功能(1)

发表于:2007-07-04来源:作者:点击数: 标签:
作者: kenduest (小州) 常看到有人乱使用 port scan 软件,(ex:nmap) 来乱扫他人的 port, 实在很讨厌 @_@ 这里提供几个方式,透过 linux kernel 2.4 的新核心机制 + iptables 来进行一些设限: # NMAP FIN/URG/PSH iptables -A INPUT -i eth0 -p tcp --tcp-f

  作者: kenduest (小州)
  常看到有人乱使用 port scan 软件,(ex:nmap) 来乱扫他人的 port,
  实在很讨厌 @_@
  
  这里提供几个方式,透过 linux kernel 2.4 的新核心机制 + iptables
  来进行一些设限:
  
  # NMAP FIN/URG/PSH
  iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
  
  # Xmas Tree
  iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP
  
  # Another Xmas Tree
  iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
  
  # Null Scan(possibly)
  iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP
  
  # SYN/RST
  iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
  
  # SYN/FIN -- Scan(possibly)
  iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
  
  这是针对一些像是使用 scan 软件,配合所谓的 Stealth 等机制去乱扫他人
  主机时,可以把这些封包丢弃不处理。那对方一扫就卡死了,或者是
  要等联机 timeout 才能够继续工作,拉长 scan 所需的时间。
  
  

原文转自:http://www.ltesting.net