使用iptables设定一些安全防护功能(1)

作者: kenduest (小州)

　　常看到有人乱使用 port scan 软件，(ex:nmap) 来乱扫他人的 port，

　　实在很讨厌 @_@

　　这里提供几个方式，透过 linux kernel 2.4 的新核心机制 + iptables

　　来进行一些设限:

　　# NMAP FIN/URG/PSH

　　iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

　　# Xmas Tree

　　iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP

　　# Another Xmas Tree

　　iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

　　# Null Scan(possibly)

　　iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP

　　# SYN/RST

　　iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

　　# SYN/FIN -- Scan(possibly)

　　iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

　　这是针对一些像是使用 scan 软件，配合所谓的 Stealth 等机制去乱扫他人

　　主机时，可以把这些封包丢弃不处理。那对方一扫就卡死了，或者是

　　要等联机 timeout 才能够继续工作，拉长 scan 所需的时间。