Linux 安全与优化:RedHat 版 - 实战指南
上一页第 10 章. 网络 - 防火墙下一页

10.5. 源地址过滤

所有 IP 数据包头部都包含源和目标 IP 地址以及 IP 协议消息的类型;ICMPUDPTCP 数据包包含这些信息。在互联网协议 - IP) 下唯一的身份识别方式是 IP 数据包头部中的源地址。 这是一个问题,它为源地址欺骗打开了大门,发送者可能会将其地址替换为不存在的地址,或某些其他站点的地址。
          
          # Refuse spoofed packets pretending to be from the external address.
          ipchains -A input  -i $EXTERNAL_INTERFACE -s $IPADDR -l -j DENY

此外,在任何情况下,您都应该拒绝在外部接口上接收至少七组源地址。 这些是声称来自以下地址的传入数据包

  1. 您的外部 IP 地址

  2. A 类私有 IP 地址

  3. B 类私有 IP 地址

  4. C 类私有 IP 地址

  5. D 类多播地址

  6. E 类保留地址

  7. 环回接口

除了您自己的 IP 地址外,阻止包含这些源地址的传出数据包可以保护您免受您自身可能发生的配置错误的影响。

Important: 不要忘记从阻止的传出数据包中排除您自己的 IP 地址。 默认情况下,我选择排除C 类私有 IP 地址,因为它目前被大多数人使用。 如果您使用另一个类而不是C 类,那么您必须注释掉防火墙脚本文件的 SPOOFING & BAD ADDRESSES 部分下引用您的类的行。

防火墙脚本文件中使用的其余规则是

上一页主页下一页
防火墙脚本文件中使用的规则向上防火墙脚本文件