服务器上防火墙的一部分:
iptables -A INPUT -p tcp --dport 22 -m state NEW --state -m recent --set
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 100 --hitcount 10 -j DROP
当我在线搜索时,我总是看到该规则中使用了 NEW,但我很难理解为什么没有使用 ESTABLISHED 和 RELATED。
像这样 :
iptables -A INPUT -p tcp --dport 22 -m state NEW,ESTABLISHED,RELATED --state -m recent --set
iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED,RELATED -m recent --update --seconds 100 --hitcount 10 -j DROP
有人可以向我解释什么时候新数据包完全变为 ESTABLISHED 和 RELATED …
当我从笔记本电脑对 www.google.com 域进行跟踪时,我使用的是 icmp 还是 udp ?
我以为是 icmp 类型 11,但是在搜索其他内容时,我遇到了使用 icmp 类型 30 的规则,并且看到了使用 udp 的规则。
有人可以向我解释这是如何工作的吗?
我正在为虚拟专用服务器开发防火墙(iptables)。
我正在为虚拟专用服务器开发防火墙,我正在研究的一件事是端口扫描仪。TCP 标志用于保护。我有2个问题。
规则:
-p tcp --tcp-flags SYN,ACK,FIN,RST SYN -j DROP
第一个参数表示检查带有 SYN 标志的数据包 第二个参数表示确保设置了标志 ACK、FIN、RST SYN
并且在这种情况下(有匹配项),丢弃 tcp 数据包
第一个问题:
我理解 RST 和 RST/ACK 的含义,但在第二个参数中使用了 RST SYN。
RST SYN 和 RST 和 SYN RST 有什么区别?
3 次握手中是否有“SYN RST”标志?
第二个问题是关于两者之间的区别
-p tcp --tcp-flags SYN,ACK,FIN,RST SYN -j DROP
和
-p tcp --tcp-flags ALL SYN,ACK,FIN,RST SYN -j DROP
什么时候应该使用 ALL ?
当我使用ALL时,这是否意味着如果带有syn标志的tcp数据包没有设置ACK“和”FIN“和”RST SYN标志,就不会有匹配?
虚拟专用服务器的防火墙。
我正在研究如何防止 FIN 扫描,这让我想到了后果。
很多人都在使用这个规则:
-p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -j DROP
因此,当有人向我发送一个 FIN = 1 的数据包时,我无法将 FIN/ACK 发回。
这似乎不太可能,但这是否意味着我建立的连接不会被停止?
这是如何运作的 ?我的连接是否保持活跃,如果是,持续多长时间?
当有人关闭他/她的浏览器时,这实际上是如何工作的?它向我的服务器发送一个 FIN,我的服务器用 FIN/ACK 回复......但浏览器无法接收,对吧?谁拿到包裹,它去哪儿了?
如果...远程机器向我的服务器发送一个 SYN,我的回复是 SYN/ACK 并且假设我没有收到 ACK,我的服务器等待它多久?
有未完成的 3 次握手的名称吗?谢谢你。
match = -m matchname [per-match-options]
但这让我很困惑。这是一个例子:
iptables -A INPUT -p tcp -m multiport --dports 23,79 --tcp-flags ALL SYN -m recent --update --seconds 180 -m comment --comment "SYN" -j DROP
有人可以向我解释它背后的理论,为什么我不必在 --tcp-flags 之前使用 -m(也许我应该?),如下所示:
iptables -A INPUT -p tcp -m multiport --dports 23,79 -m --tcp-flags ALL SYN -m recent --update --seconds 180 -m comment --comment "SYN" -j DROP
如果它是这样写的,对我来说会更有意义:
iptables -A INPUT -p tcp -m tcp --tcp-flags ALL SYN -m multiport --dports 23,79 -m recent --update --seconds 180 -m comment --comment …虚拟专用服务器的 IPtables。
我想阻止 UDP 扫描,我想知道 DNS 查找是否有最小数据包大小?
Nmap 发送 0 字节 UDP 数据包(来源:http : //nmap.org/bennieston-tutorial/),但可能有可用的工具允许您添加几个字节。
另外,我不太明白 nmap 的 UDP 数据包如何可以是 0 字节。
我正在开发防火墙,我想知道如何计算数据包中有多少字节,或者至少知道平均值是多少。
当我用谷歌搜索时,经常提到 1500 字节,但它似乎取决于文件大小和协议。
1500 字节,是 tcp 的吗?icmp 呢?
出于好奇:最大尺寸是多少?
虚拟专用服务器托管 10 个网站。1个用iptables做的防火墙
如果这 10 个网站之一受到来自一个 IP 地址的过多 ping 请求的攻击,我该如何限制或删除它而不会将它用于其他 9 个网站?
我是否为每个网站都创建了防火墙?如果是这样,如何?还是改变我的规则更好?如果是这样,如何?谢谢你。
原始问题发布在这里https://serverfault.com/questions/373259/iptables-whats-best-practice-when-there-several-websites-but-you-want-to-us但它太模糊了。
如果需要更多信息,请告诉我。