IP テーブル - 着信トラフィックのブロック

IP テーブル - 着信トラフィックのブロック

この質問はある程度関連しています。これそしてこれ

私の質問は、iptablesを使用して着信接続をブロックすることです。私はunix.stackexchange.comから他の投稿を読んで、iptablesの基本的な理解を得ました。しかし、いくつかの具体的なことを理解していません。助けてくれてありがとう。

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT                              
iptables -P INPUT DROP

このコードを使いたいです。私が送信した要求に対する応答を除いて、すべての着信接続をブロックする必要があります(すべてのポートは外部の人に閉じられます)。簡単だと思います。

  1. 着信ICMP ping要求は上記のコードによってブロックされますか?そうでなければなぜですか?

  2. 上記のコードがICMP ping要求をブロックしていない場合、iptables -I INPUT -j DROP -p icmp --icmp-type echo-requestこのコードを追加するとブロックされますか?

  3. ブロックされたIPのポートスキャンを介して自分のコンピュータに関する情報を取得できますか?

  4. 特定のルール(特定のフラッディング攻撃をブロックする)を追加する必要がありますか-p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP、それとも最初のコードでそれを処理できますか?

答え1

  1. はい。既存のセッションではなく、すべての着信トラフィックがブロックされます。
  2. これは、(a)適切な悪意のあるホストに接続している場合、または(b)あなたがそこにいる必要があることを知っており、応答の欠如に基づいてファイアウォールがあると推測できる場合にのみ可能です。
  3. あなたはすでに#1に含まれています

答え2

@roaimaの答えは素晴らしいですが、特定の項目を許可しない場合にのみ可能です。

私は以下をお勧めします:

  1. 私は明示的なDROPルールを置きます。最後に配置する必要があります。
    iptables -A INPUT -j DROP
    
    ポリシーもあります。
  2. 特定の入力(SSHやWebサーバーなど)を許可する場合は、「許可」の前に#4を入力してください。また、破片のような他の悪い物質もブロックします。
  3. ポイント 2 は正確ですが、IPv4 専用です。 IPv6には異なるpingがあります。そして(古典的に)様々なフィルターセット。
  4. IPv6についてもフィルタリングすることを忘れないでください。

関連情報