我最近花了很多时间完善我的 iptable 规则,让它比 Ark linuxs 更强大一些简单状态防火墙包括防御其他一些已知和恶意攻击。其中一种攻击包括拒绝服务,即诱使受害者持续回复自己,直到无法再联网。
$ iptables -A 输入 -d 47.156.66.17/32 -j 删除
上述规则假设我使用 47.156.66.17/32 作为我的 IP 和 CIDR。当然,我并不总是在家里使用笔记本电脑,也并不总是获得相同的 IP 和 CIDR。我的问题是,如何使 IP 足够动态和响应迅速,以便它分析每个网络的 IP 地址,而不必为每个连接设置规则?即插即用就是这个想法。
我是否必须设置第二套规则,在网络每次正常运行和故障时启动这些规则,或者是否可以像将其扔进 iptables-persistent 一样简单,去当地的咖啡馆吃一个美味的三明治,开心地上网?
答案1
如果你被迫使用动态ip。
您可以在 iptables 中使用基于 MAC 的过滤,如下所示:
iptables -A INPUT -m mac --mac-source 5E:D9:83:B6:61:8A -j DROP