本文主要介绍了iptables防火墙阻断攻击设置共享的实际执行情况,阐述了防止SYN Flood攻击和被丢弃的空空的数据包,丢弃了圣诞节的异常数据包,丢弃设置无效的数据包的方法对异常数据,需要的朋友可以参考下





看到这条来自Yaocheng的好东西,需要被隐藏。这里有一些攻击,这是经常遇到的linux下的措施。以下iptables规则一般应适用于Linux的各种版本,只是想让它为了在系统重新启动后,避免失败。

初始TCP连接必须包含SYN


复制代码代码如下所示:
iptables -输入-p tcp!- SYN - M状态-状态新j下降

丢弃碎片片段数据包(片段数据包攻击的后果:可能导致正常的数据包丢失)

复制代码代码如下所示:
iptables -输入- J滴

防止SYN洪水攻击(根据自身情况调整限制速度)


复制代码代码如下所示:
iptables -输入-p tcp - M州新米的极限——极限
iptables -输入-p tcp - M州新J滴

丢弃异常的圣诞节数据包(异常圣诞节包攻击的后果:可能导致系统崩溃)


复制代码代码如下所示:
iptables -输入- P的TCP,TCP标志所有J滴
iptables -输入P TCP TCP标志所有的鳍,PSH,URG - J滴
iptables -输入P TCP TCP标志所有SYN,RST,ACK,鳍,URG

空空包丢弃


复制代码代码如下所示:
iptables - inpit P TCP TCP标志都没有J滴


允许有限的TCP RST请求(根据自身情况调整限制速度)


复制代码代码如下所示:
iptables -输入- P的TCP TCP TCP RST RST标志M M极限

无效的数据包丢弃


复制代码代码如下所示:
iptables -输入-状态-状态无效,降
iptables -向前M州无效- J滴
iptables -输出- M州无效J滴

阻止欺诈的IP地址访问(以下是RFC1918和IANA保留地址,主要是局域网或组播地址,这是不太可能的公共网络地址来源)。


复制代码代码如下所示:
iptables -输入的10.0.0.0 / 8 J滴
iptables -输入的169.254.0.0 / 16 J滴
iptables -输入的172.16.0.0 / 12 J滴
iptables -输入的127.0.0.0 / 8 J滴
iptables -输入- 224.0.0.0 / 4 J滴
iptables -输入D 224.0.0.0 / 4 J滴
iptables -输入的240.0.0.0 / 5 J滴
iptables -输入D 240.0.0.0 / 5 J滴
iptables -输入的0.0.0.0 / 8 J滴
iptables -输入D 0.0.0.0 / 8 J滴
iptables -输入D 239.255.255.0 / 24 J滴
iptables -输入D 255.255.255.255 J滴

阻止自定义恶意IP地址的访问


复制代码代码如下所示:
iptables -输入xxx.xxx.xxx.xxx的J滴

禁止使用ICMP ping

复制代码代码如下所示:
iptables -输入- P - M ICMP,ICMP回送请求J滴ICMP类型