SiS001! Board - [第一会所关闭注册]

标题: [交流] Linux系统下防火墙配置 [打印本页]

作者: shit_2009 时间: 2010-5-25 15:10 标题: Linux系统下防火墙配置

有没有这方面的朋友，看一看下面做的规则有什么需要改进的地方：
代码:
#--以下为iptables规则设置--

iptables -N input_ext
iptables -F input_ext                                  # 新建iptables队列

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT          # 激活状态检测

iptables -A INPUT -i eth0 -j input_ext             # 扩展input规则
iptables -A INPUT -j DROP                            # 默认input规则，丢弃全部

iptables -A input_ext -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -m u32 --u32 "0x2&0xffff=0x100&&0x5&0xff=0x4a:0x5f" -j DROP       # 本次syn-flood攻击指纹特征，丢弃
iptables -A input_ext -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 5 --connlimit-mask 32 -j TARPIT          # 防止连接耗尽攻击，每IP并发连接限制为4
iptables -A input_ext -p tcp -j TARPIT                                                 # 防止端口扫描攻击

iptables -A input_ext -m pkttype --pkt-type broadcast -j DROP                # 丢弃广播数据包
iptables -A input_ext -p icmp -m limit --limit 6/s -m icmp --icmp-type 4 -j ACCEPT       # 接受icmp traceroute/echo reply数据，限制流量 5个/秒
iptables -A input_ext -p icmp -m limit --limit 6/s -m icmp --icmp-type 8 -j ACCEPT
iptables -A input_ext -p icmp -m length --length 48:256 -j ACCEPT          # 限制icmp包大小为 0 - 256Byte，防止大包flood
                                                   ----欢迎交流

作者: hackin 时间: 2010-5-28 23:27

只能说你写的很乱，一点条理都没有，你既然想要安全就
iptables -A INPUT -P DROP
iptables -A OUTPUT -P DROP
进出全部DROP掉，然后再慢慢写规则

作者: zsfzxxx 时间: 2010-5-29 11:17

太高深了，直接装个毛豆墙加HIPS 不就OK?

作者: whf5212 时间: 2010-6-1 11:41

这个我不会，正在找这方面的文章看呢，慢慢学吧。

欢迎光临 SiS001! Board - [第一会所关闭注册] (http://23.225.255.74/bbs3/)