linux – iptables和阻止可能不可能的流量

发布时间：2020-12-14 03:00:20 所属栏目：Linux 来源：网络整理

导读：我正在研究一些iptables防火墙规则,并且已经看到许多示例表明阻止来自不可路由的IP地址空间的潜在不可能的流量的重要性.这将包括来自RFC 1918,RFC 1700,RFC 5735,RFC 3927,RFC 3068,RFC 2544,RFC 5737,RFC 3171和RFC 919的项目.一些示例包括以下内容： $CURR

我正在研究一些iptables防火墙规则,并且已经看到许多示例表明阻止来自不可路由的IP地址空间的潜在不可能的流量的重要性.这将包括来自RFC 1918,RFC 1700,RFC 5735,RFC 3927,RFC 3068,RFC 2544,RFC 5737,RFC 3171和RFC 919的项目.一些示例包括以下内容：

> $CURRENT_IP
> 0.0.0.0/8
> 10.0.0.0/8
> 127.0.0.0/8
> 169.254.0.0/16
> 172.16.0.0/12
> 192.0.0.0/24
> 192.0.2.0/24
> 192.88.99.0/24
> 192.168.0.0/16
> 198.18.0.0/15
> 198.51.100.0/24
> 203.0.113.0/24
> 224.0.0.0/4
> 240.0.0.0/4
> 255.255.255.255

一些示例表明,如果它是流量的来源,您只需要担心检查此流量.示例：

$IPT -A ANTISPOOF -s 0.0.0.0/8 -m limit --limit 5/min --limit-burst 5 -j LOG --log-prefix "Denied Spoofed Source IP Address: "
$IPT -A ANTISPOOF -s 0.0.0.0/8 -j DROP

在其他示例中,在他们检查输入和输出的源和目的地时采取更积极的姿态.例子包括：

iptables -A INPUT -d 172.0.0.0/8 -j DROP
iptables -A INPUT -s 172.0.0.0/8 -j DROP
iptables -A OUTPUT -d 172.0.0.0/8 -j DROP
iptables -A OUTPUT -s 172.0.0.0/8 -j DROP

我仍然提出以下问题：

>我是否需要在项目符号列表中检查上面列出的IP范围的源地址？
>我是否需要在项目符号列表中检查上面列出的IP范围的目标地址？
>为上面列出的包含INPUT和OUTPUT链的IP范围创建规则很重要吗？
>上面的项目符号列表中是否遗漏了我忘记检查的IP范围？

在此先感谢您的帮助.

解决方法

上述规则集中的大部分内容涉及通常称为Bogon过滤的内容： http://en.wikipedia.org/wiki/Bogon_filtering – 这些是来自/来自地址空间的未分配区域的数据包.

但是,这些范围中的3个是RFC1918专用网络：http://en.wikipedia.org/wiki/Private_networks – 来自这些范围的数据包仍然可以归类为Bogons,但前提是它们不合法. (即使玫瑰是杂草,如果它在停车场中间生长……)

如果这是您正在使用的路由器,请考虑以下事项：

> INPUT和OUTPUT链处理发往/来自(分别)防火墙本身某些本地进程的流量.大多数路由流量都不会触及这些链.
> FORWARD链处理通过机器路由到其他目的地的流量.
>通常,您需要阻止来自这些源网络的入站流量和到达这些目标网络的出站流量.看一下iptables的-i标志,它允许你限制匹配给定的网络适配器.

>尽管如此,我是第二个看门狗,因为这样可能不需要捕获这样的出站流量.如果它是您的服务器,您应该控制它发送的内容.

>请记住,您的内部LAN可能使用其中一个私有地址范围.您可能仍希望允许该流量通过.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!