如果 INPUT 和 FORWARD 链上的 NEW 状态连接被丢弃,那么反 DDoS 规则是否没有必要?

如果 INPUT 和 FORWARD 链上的 NEW 状态连接被丢弃,那么反 DDoS 规则是否没有必要?

场景:路由器用于将内部客户端连接到互联网。路由器不向互联网提供开放服务。

假设您有如下所示的 iptables 规则,而没有其他规则。

iptables -P INPUT DROP
iptables -I INPUT -i <wan_face> -m state --NEW -j DROP

以下是反 DDoS 规则的示例。

iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

如果 wan_face 上的 INPUT 和 FORWARD 链上的 NEW 状态连接被丢弃,那么反 DDoS 规则是否没有必要?

答案1

如果将默认策略设置为 DROP,为什么还要指定任何其他规则?

iptables -P INPUT DROP

这项政策通常只有一些例外到默认的 DROP 策略,即您想要允许进入的传入流量......

如果没有任何例外,为什么还要费心进一步检查您的流量?

所谓的 DDOS 保护规则所做的唯一的事情就是需要额外的处理(甚至可能增加 DDOS 攻击的有效性)。

你的逻辑现在看起来像:

if (something) then 
     DROP
else if (something_else) then 
     DROP
else if (something_else) then 
     DROP
else if (something_else) then 
     DROP
fi

# For everything that wasn't caught by the previous rules:
DROP any way

这有点傻,对吧?

相关内容