簡單設定 kernel 選項在使用 iptables 前
2012-08-14 09:14
1001 查看
Troubleshooting Linux Firewalls, Shinn
設定時先關 ip_forwarding,防任何封包流通
如果防火牆使用 bootp 或 dhcp 得到 IP 地址
如果防火牆使用 static IP 地址
禁止 source routing
停止回應 ICMP redirect 要求
停止發送 ICMP redirect 要求
停止接收 ICMP redirect
停止回應 proxy ARP 要求
防 IP spoofing
防火星 IP 地址
停 ICMP echo messages 廣播
停 ICMP echo request 回應
停路由器假廣播記碌
設定 FIN-WAIT-2 時間,四十五秒作者建意
設定 UDP connection timout 時間
起動 TCP syn cookies
停 IP ECN,Explicit Congestion Notification
man iptables man ip6tables
設定時先關 ip_forwarding,防任何封包流通
echo 0 > /proc/sys/net/ipv4/ip_forward
如果防火牆使用 bootp 或 dhcp 得到 IP 地址
echo 1 > /proc/sys/net/ipv4/ip_dynaddr echo 2 > /proc/sys/net/ipv4/ip_dynaddr #更精密
如果防火牆使用 static IP 地址
echo 0 > /proc/sys/net/ipv4/ip_dynaddr
禁止 source routing
if [ -e /proc/sys/net/ipv4/conf/all/accept_source_route ]; then for f in /proc/sys/net/ipv4/conf/*/accept_source_route do echo 0 > $f done fi
停止回應 ICMP redirect 要求
# Do not respond to 'redirected' ICMP packets from gateways if [ -e /proc/sys/net/ipv4/secure_redirects ]; then echo 1 > /proc/sys/net/ipv4/secure_redirects fi
停止發送 ICMP redirect 要求
# Do not reply to 'redirected' packets if requested if [ -e /proc/sys/net/ipv4/send_redirects ]; then echo 0 > /proc/sys/net/ipv4/send_redirects fi
停止接收 ICMP redirect
# Even more ICMP redirect suppression # do not accept redirects if [ -e /proc/sys/net/ipv4/accept_redirects ]; then echo 0 > /proc/sys/net/ipv4/accept_redirects fi
停止回應 proxy ARP 要求
# Do not respond to a proxy arp request. #do not reply to 'proxyarp' packets if [ -e /proc/sys/net/ipv4/proxy_arp ]; then echo 0 > /proc/sys/net/ipv4/proxy_arp fi
防 IP spoofing
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then for f in /proc/sys/net/ipv4/conf/*/rp_filter do echo 1 > $f done fi
防火星 IP 地址
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
停 ICMP echo messages 廣播
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
停 ICMP echo request 回應
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
停路由器假廣播記碌
echo 0 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
設定 FIN-WAIT-2 時間,四十五秒作者建意
echo 45 > /proc/sys/net/ipv4/tcp_fin_timeout
設定 UDP connection timout 時間
echo 60 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
起動 TCP syn cookies
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
停 IP ECN,Explicit Congestion Notification
echo 0 > /proc/sys/net/ipv4/tcp_ecn
相关文章推荐
- Iptables – 介紹設定簡單的 iptables 防火牆
- 如何使用netfilter/iptables构建防火墙
- 阿里云linux服务器上使用iptables设置安全策略的方法
- Kernel中GPIO的Sysfs接口的使用
- 在VMware环境下,使用KGDB调试内核及内核模块---基于kernel 2.6.26
- string-array的簡單使用
- 一个可以直接使用的可用iptables配置的stateless NAT实现
- Kernel Packet Traveling Diagram(图片,关于iptables)
- CentOS 7.0如何将iptables作为防火墙(默认使用的是firewall作为防火墙)
- Ubuntu 9.04, Kernel 2.6.28.10中mmap()使用
- CentOS7使用firewalld控制防火墙,以及使用iptables设置
- android arm linux下使用内存转储crash工具分析 kernel system dump问题
- iptables 防火墙使用
- 配置防火墙,开启80端口、3306端口 & iptables 使用详解
- 红旗Linux上的iptables使用简介(二)
- 解决Genymotion模拟器无法使用问题“the file is currupt”,“uable to boot-please use a kernel appropriate for your c
- linux下使用iptables禁止PING,iptables NAT
- 详解iptables防火墙SNAT、DNAT地址转换工作原理及使用
- Linux下netfilter/iptables使用(V3.0)