所以我读到一种常见的攻击是欺骗来自内部 SRC IP 地址的数据包,例如192.168.0.0/16。如何使用 iptables 防御这种情况,同时允许来自路由器或其他任何必要设备的流量?
如果我仅-s 192.168.0.0/16 -j DROP向 INPUT 链中添加一个,那么这也会杀死真正的内部流量吗?
答案1
一个简单的答案。指定规则的接口...而不仅仅是源 IP/端口。
例如
iptables -I INPUT -i eth0 -s 192.168.0.0/16 -j DROP
iptables -I FORWARD -i eth0 -s 192.168.0.0/16 -j DROP
(假设 eth0是您的 WAN 接口)