LINUX.ORG.RU

История изменений

Исправление Meyer, (текущая версия) :

Для начала было бы неплохо защититься от самых банальных вещей:

IP fragmentation attack

Christmas tree packet / Port scanner

Для этого в хук ingress netdev таблицы нужно добавить: 

ip frag-off & 0x1fff != 0 drop # биты 0,DF,MF

tcp flags & (fin|syn|rst|psh|ack|urg) == 0x0 drop # сканирование т.н Null пакетами

tcp flags & (fin|syn|rst|psh|ack|urg) == fin|syn|rst|psh|ack|urg drop # сканирование Xmass пакетами

В хук prerouting для inet (IPv4 и IPv6) пропиши: 

ct state invalid drop # очевидно, дроп невалидных сессий

ct state new tcp flags & (fin|syn|rst|ack) != syn drop # дроп новых сессий, начинающихся не с SYN

От всяких школьников с nmap'ом это поможет, но лучше позаботиться о более нормальной защите.

Исправление Meyer, :

Для начала было бы неплохо защититься от самых банальных вещей:

IP fragmentation attack

Christmas tree packet/Port scanner

Для этого в хук ingress netdev таблицы нужно добавить: 

ip frag-off & 0x1fff != 0 drop # биты 0,DF,MF

tcp flags & (fin|syn|rst|psh|ack|urg) == 0x0 drop # сканирование т.н Null пакетами

tcp flags & (fin|syn|rst|psh|ack|urg) == fin|syn|rst|psh|ack|urg drop # сканирование Xmass пакетами

В хук prerouting для inet (IPv4 и IPv6) пропиши: 

ct state invalid drop # очевидно, дроп невалидных сессий

ct state new tcp flags & (fin|syn|rst|ack) != syn drop # дроп новых сессий, начинающихся не с SYN

От всяких школьников с nmap'ом это поможет, но лучше позаботиться о более нормальной защите.

Исходная версия Meyer, :

Для начала было бы неплохо защититься от самых банальных вещей:

IP fragmentation attack

Christmas tree packet

Port scanner

Для этого в хук ingress netdev таблицы нужно добавить: 

ip frag-off & 0x1fff != 0 drop # биты 0,DF,MF

tcp flags & (fin|syn|rst|psh|ack|urg) == 0x0 drop # сканирование т.н Null пакетами

tcp flags & (fin|syn|rst|psh|ack|urg) == fin|syn|rst|psh|ack|urg drop # сканирование Xmass пакетами

В хук prerouting для inet (IPv4 и IPv6) пропиши: 

ct state invalid drop # очевидно, дроп невалидных сессий

ct state new tcp flags & (fin|syn|rst|ack) != syn drop # дроп новых сессий, начинающихся не с SYN

От всяких школьников с nmap'ом это поможет, но лучше позаботиться о более нормальной защите.