iptables 和阻止潜在的不可能流量

上述规则集中的大部分内容涉及通常称为 Bogon 过滤的内容：http://en.wikipedia.org/wiki/Bogon_filtering - 这些是往返于地址空间未分配区域的数据包。

然而，其中 3 个范围是 RFC1918 私有网络：http://en.wikipedia.org/wiki/Private_networks- 这些数据包仍然可以归类为 Bogon，但前提是它们不合法。（即使是玫瑰，如果它生长在停车场中间，也是杂草……）

如果这是您正在使用的路由器，请考虑以下事项：

• INPUT 和 OUTPUT 链分别处理发往/来自防火墙本身的某些本地进程的流量。大多数路由流量不会触及这些链。
• FORWARD 链处理通过机器路由到其他目的地的流量。
• 通常情况下，你会想要阻止入站来自这些的流量来源网络和出站流量到那些目的地网络。查看-iiptables 的标志，它允许您将匹配限制到给定的网络适配器。
  • 不过，我同意 topdog 的观点，认为像这样捕获出站流量可能没有必要。如果这是你的服务器，你应该控制它发送的内容。
• 请记住，您的内部 LAN 可能使用其中一个私有地址范围。您可能仍希望允许该流量通过。

* Do I need to check for the source address of the IP ranges listed above in the bulleted list?

是的，您不希望您的服务器尝试回答/发送数据包到列出的地址，即使您的 isp/nsp 应该丢弃它们。

* Do I need to check for the destination address of the IP ranges listed above in the bulleted list?

是的，传入的数据包不会被传递到操作系统，但您希望阻止尽可能靠近系统/网络边缘的尝试。

* Is is important to create rules for the IP ranges listed above that would include both the INPUT and OUTPUT chains?

是的，您不想向列出的地址发送数据包。

* Are there any IP ranges that I have forgotten to check from that are missing from the bulleted list above?

是的，您的 IP 地址应该被拒绝访问。您可以使用以下方法更积极地处理 (http://www.team-cymru.org/Services/Bogons/），但由于剩余的 IPv4 地址已被分配，因此您可能会阻止合法来源。

iptables 命中数将帮助您确定哪些规则正在起作用，而日志记录将有助于识别连接是被拒绝还是被接受。