對這文章發表回應
發表限制: 非會員 可以發表
發表者: 冷日 發表時間: 2005/2/19 20:08:49
發信人: kenduest.bbs@bbs.cynix.com.tw (小州), 看板: Linux
標 題: [文件]使用 iptables 設定一些安全防護功能 (1)
發信站: CynixBBS. (Tue May 15 19:08:40 2001) at.cynix.com.tw
轉信站: Maxwell!bbs.ee.ntu!freebsd.ntu!news.cis.nctu!db1.bbs99.com!netnews.hin
常看到有人亂使用 port scan 軟體,(ex:nmap) 來亂掃他人的 port,實在很討厭 @_@
這裡提供幾個方式,透過 linux kernel 2.4 的新核心機制 + iptables來進行一些設限:
# NMAP FIN/URG/PSH
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
# Xmas Tree
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP
# Another Xmas Tree
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
# Null Scan(possibly)
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP
# SYN/RST
iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
# SYN/FIN -- Scan(possibly)
iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
這是針對一些像是使用 scan 軟體,配合所謂的 Stealth 等機制去亂掃他人主機時,可以把這些封包丟棄不處理。那對方一掃就卡死了,或者是要等連線 timeout 才能夠繼續工作,拉長 scan 所需的時間。
標 題: [文件]使用 iptables 設定一些安全防護功能 (1)
發信站: CynixBBS. (Tue May 15 19:08:40 2001) at.cynix.com.tw
轉信站: Maxwell!bbs.ee.ntu!freebsd.ntu!news.cis.nctu!db1.bbs99.com!netnews.hin
常看到有人亂使用 port scan 軟體,(ex:nmap) 來亂掃他人的 port,實在很討厭 @_@
這裡提供幾個方式,透過 linux kernel 2.4 的新核心機制 + iptables來進行一些設限:
# NMAP FIN/URG/PSH
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
# Xmas Tree
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP
# Another Xmas Tree
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
# Null Scan(possibly)
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP
# SYN/RST
iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
# SYN/FIN -- Scan(possibly)
iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
這是針對一些像是使用 scan 軟體,配合所謂的 Stealth 等機制去亂掃他人主機時,可以把這些封包丟棄不處理。那對方一掃就卡死了,或者是要等連線 timeout 才能夠繼續工作,拉長 scan 所需的時間。