私の質問は、iptablesを使用して着信接続をブロックすることです。私はunix.stackexchange.comから他の投稿を読んで、iptablesの基本的な理解を得ました。しかし、いくつかの具体的なことを理解していません。助けてくれてありがとう。
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
このコードを使いたいです。私が送信した要求に対する応答を除いて、すべての着信接続をブロックする必要があります(すべてのポートは外部の人に閉じられます)。簡単だと思います。
着信ICMP ping要求は上記のコードによってブロックされますか?そうでなければなぜですか?
上記のコードがICMP ping要求をブロックしていない場合、
iptables -I INPUT -j DROP -p icmp --icmp-type echo-request
このコードを追加するとブロックされますか?ブロックされたIPのポートスキャンを介して自分のコンピュータに関する情報を取得できますか?
特定のルール(特定のフラッディング攻撃をブロックする)を追加する必要がありますか
-p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
、それとも最初のコードでそれを処理できますか?
答え1
- はい。既存のセッションではなく、すべての着信トラフィックがブロックされます。
-
- これは、(a)適切な悪意のあるホストに接続している場合、または(b)あなたがそこにいる必要があることを知っており、応答の欠如に基づいてファイアウォールがあると推測できる場合にのみ可能です。
- あなたはすでに#1に含まれています
答え2
@roaimaの答えは素晴らしいですが、特定の項目を許可しない場合にのみ可能です。
私は以下をお勧めします:
- 私は明示的なDROPルールを置きます。最後に配置する必要があります。
ポリシーもあります。iptables -A INPUT -j DROP
- 特定の入力(SSHやWebサーバーなど)を許可する場合は、「許可」の前に#4を入力してください。また、破片のような他の悪い物質もブロックします。
- ポイント 2 は正確ですが、IPv4 専用です。 IPv6には異なるpingがあります。そして(古典的に)様々なフィルターセット。
- IPv6についてもフィルタリングすることを忘れないでください。