所以你意识到一个好的防火墙正在捕获大量的恶意互联网流量。这是一件好事,但它也使你的日志文件被填满,以至于你不会去阅读它们;这就不好了。该怎么办?
你需要弄清楚的是哪些流量是你不想记录的,在防火墙中显式匹配这些数据包,并且在你丢弃它们时,不要记录这些数据包。
例如,第 10.7 节中的 TrinityOS 防火墙规则集(在 IPMASQ 术语中,这将是一个“最强”的规则集)提供了一些思路:TrinityOS - 第 10.7 节
我建议过滤的内容
所有 RFC1918 地址空间(TCP/IP 地址范围:10.x.y.z/8、172.16-31.y.z/12 和 192.168.y.x/16)。你永远不应该从互联网连接接收到这些数据包。如果你收到了,它们很可能是欺骗数据包。
Windows 文件和打印共享(Samba 或 CIFS):端口 137、138、139 和 445。Windows 机器喜欢说很多话,尽管大多数计算机并不关心它们在说什么。
D 类组播地址(如果你不使用组播):224.0.0.0/4
E 类和 F 类“未来”地址:240.0.0.0/5 和 248.0.0.0/5
在较小程度上,你可能还想过滤其他数据包。我建议你在过滤掉它们之前,先验证你是否正在接收这些特定类型的数据包。
RIP(路由信息协议):端口 520
某些特定形式的 ICMP 数据包 - 不是全部(那样会破坏你的机器和整个 IPMASQ)
最后,你可能会发现互联网上的一些单独的 TCP/IP 地址似乎总是在攻击你的 IP。因此,除了像上面那样过滤各种端口之外,你可能还想按特定的源 IP 地址进行过滤。毕竟,这是 *你自己的* 防火墙。