LINUX.ORG.RU

iptables


0

0

Подскажите плз, что прописать в iptables чтобы если кто-нибудь сканирует шлюз то все пакеты дропались, но шлюз для этого чела работал бы и дальше, и пинги бы проходили


попробовать на connect в INPUT прописать дроп, а для FORWARD разрешить?

anonymous
()

Я для таких целей использую модуль psd.
Он специально предназначен для защиты от сканирования.

Junior.

anonymous
()

напиши правила ACCEPT для сервисов которые работают на шлюзе а остальные в DROP - iptables -P INPUT DROP. ну и форвард политику поставь также а те хосты которые форвардятся пропиши iptables -A FORWARD -s ip_host -j ACCEPT и iptables -A FORWARD -d ip_host -j ACCEPT. желательно настроить и для цепочки OUTPUT - а самое лучшее изучить iptables-HOW-TO :)

x97Rang ★★★
()
Ответ на: комментарий от x97Rang

Лучше не DROP, а REJECT. 
А то так недолго и DoS получить, если тачка 
до ума плохо доведена :)

Junior.

anonymous
()
Ответ на: комментарий от anonymous

у меня настройки DROP работают на 3 серверах без проблем, в день скидывается по несколько мегабайт на машину, зачем платить вышестоящему прову за обратный бесполезный трафик ?

x97Rang ★★★
()
Ответ на: комментарий от x97Rang

Если говорить о трафике, то никакие правила не спасают от флуда
 сервера, все равно трафик идет на тебя, пусть ты даже не отвечаешь, но
 он идет.

fuzk
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.