大佬教程收集整理的这篇文章主要介绍了linux – 为什么不阻止ICMP?,大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
# Establish a clean slate iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -F # Flush all rules iptables -X # delete all chains # Disable routIng. Drop packets if they reach the end of the chain. iptables -P FORWARD DROP # Drop all packets with a bad state iptables -A INPUT -m state --state INVALID -j DROP # Accept any packets that have something to do with ones we've sent on outbound iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # Accept any packets coming or going on localhost (this can be very important) iptables -A INPUT -i lo -j ACCEPT # Accept ICMP iptables -A INPUT -p icmp -j ACCEPT # Allow ssh iptables -A INPUT -p tcp --dport 22 -j ACCEPT # Allow @R_772_10107@d iptables -A INPUT -p tcp --dport 80 -j ACCEPT # Allow SSL iptables -A INPUT -p tcp --dport 443 -j ACCEPT # Block all other traffic iptables -A INPUT -j DROP
对于上下文,此计算机是虚拟专用服务器Web应用程序主机.
在一个previous question,Lee B说我应该“更多地锁定ICMP”.为什么不完全阻止它?如果我这样做会发生什么(会发生什么坏事)?
如果我不需要阻止ICMP,我怎么能更多地锁定它?
如上所述,ICMP也用于路径MTU发现.机会是你的OS在它发送的TCP数据包上设置“DF”(不碎片).如果路径上的某些内容无法处理该数据包大小,则期望获得ICMP“需要分片”数据包.如果你阻止所有ICMP,你的机器将不得不使用其他回退机制,它基本上使用超时来检测PMTU“黑洞”,并且永远不会正确优化.
此外,您应该问自己为什么要阻止ICMP.具体到底你想阻止什么?很明显你不明白ICMP的用途,这是很常见的.我会非常谨慎地阻止你不完全理解的东西.
为了更难以了解这一点,许多常见的防火墙书籍都说“阻止ICMP” – 很明显他们的作者从未阅读过RFC或者必须解决围绕这些建议的问题.阻止所有ICMP是不好的建议.
现在,限制它也可能会受到伤害.如果您的计算机正忙,或者即使不是,您也可以获得大量的ICMP流量.我的Web服务器每分钟可能获得大约10-100个ICMP数据包,其中大部分是PMTU发现.即使有人选择使用某种类型的ICMP数据包攻击我的服务器,它实际上并没有那么大的优惠.如果您的机器甚至接受一个TCP连接(ssh,@R_772_10107@,邮件等),那么这可能是一个比误解ICMP更大的攻击向量.
以上是大佬教程为你收集整理的linux – 为什么不阻止ICMP?全部内容,希望文章能够帮你解决linux – 为什么不阻止ICMP?所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。