使用iptables设定一些安全防护功能(1)
作者: kenduest (小州)常看到有人乱使用 port scan 软件,(ex:nmap) 来乱扫他人的 port,
实在很讨厌 @_@
这里提供几个方式,透过 linux kernel 2.4 的新核心机制 + iptables
来进行一些设限:
# NMAP FIN/URG/PSH
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
# Xmas Tree
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP
# Another Xmas Tree
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
# Null Scan(possibly)
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP
# SYN/RST
iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
# SYN/FIN -- Scan(possibly)
iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
这是针对一些像是使用 scan 软件,配合所谓的 Stealth 等机制去乱扫他人
主机时,可以把这些封包丢弃不处理。那对方一扫就卡死了,或者是
要等联机 timeout 才能够继续工作,拉长 scan 所需的时间。