對這文章發表回應
發表限制: 非會員 可以發表
發表者: 冷日 發表時間: 2005/2/19 20:12:40
發信人: kenduest.bbs@bbs.cynix.com.tw (小州), 看板: Linux
標 題: [文件]使用 iptables 設定一些安全防護功能 (3)
發信站: CynixBBS. (Tue May 15 19:39:44 2001) at.cynix.com.tw
轉信站: Maxwell!bbs.ee.ntu!freebsd.ntu!news.cis.nctu!db1.bbs99.com!netnews.hin
防止 sync flood 攻擊的設定:
iptables -N synfoold
iptables -A synfoold -p tcp --syn -m limit --limit 1/s -j RETURN
iptables -A synfoold -p tcp -j REJECT --reject-with tcp-reset
iptables -A INPUT -p tcp -m state --state NEW -j synfoold
這個方式對於一個很忙碌的站台來說,這個設定方式會不會有不良影響呢?測試過一個很忙碌的站台用這個設定,老實說並不好....所以也許可以調整時間與次數的觸發值。
防止 Ping of Death :
iptables -N ping
iptables -A ping -p icmp --icmp-type echo-request -m limit --limit
1/second -j RETURN
iptables -A ping -p icmp -j REJECT
iptables -I INPUT -p icmp --icmp-type echo-request -m state --state NEW
-j ping
這裡只有把 icmp 的 echo request 部份拒絕掉,可以視情況再調整。
或者是直接設定主機不回應 echo request 。
/proc/sys/net/ipv4/icmp_echo_ignore_all
標 題: [文件]使用 iptables 設定一些安全防護功能 (3)
發信站: CynixBBS. (Tue May 15 19:39:44 2001) at.cynix.com.tw
轉信站: Maxwell!bbs.ee.ntu!freebsd.ntu!news.cis.nctu!db1.bbs99.com!netnews.hin
防止 sync flood 攻擊的設定:
iptables -N synfoold
iptables -A synfoold -p tcp --syn -m limit --limit 1/s -j RETURN
iptables -A synfoold -p tcp -j REJECT --reject-with tcp-reset
iptables -A INPUT -p tcp -m state --state NEW -j synfoold
這個方式對於一個很忙碌的站台來說,這個設定方式會不會有不良影響呢?測試過一個很忙碌的站台用這個設定,老實說並不好....所以也許可以調整時間與次數的觸發值。
防止 Ping of Death :
iptables -N ping
iptables -A ping -p icmp --icmp-type echo-request -m limit --limit
1/second -j RETURN
iptables -A ping -p icmp -j REJECT
iptables -I INPUT -p icmp --icmp-type echo-request -m state --state NEW
-j ping
這裡只有把 icmp 的 echo request 部份拒絕掉,可以視情況再調整。
或者是直接設定主機不回應 echo request 。
/proc/sys/net/ipv4/icmp_echo_ignore_all