强制 SYN 数据包检查

tag-icon tag-icon server iptables 21.04 lan
强制 SYN 数据包检查

为了提高安全性,我执行了以下命令

强制 SYN 数据包检查

确保新传入的 TCP 连接是 SYN 数据包;否则我们需要丢弃它们:

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

强制碎片数据包检查

带有传入碎片的数据包会被丢弃。此攻击会导致 Linux 服务器崩溃,从而导致数据丢失。

iptables -A INPUT -f -j DROP

圣诞礼包

传入的格式错误的 XMAS 数据包将被丢弃:

iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

丢弃所有 NULL 数据包

传入格式错误的 NULL 数据包:

iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

我从这里得到这个命令这里

现在系统显示线路已连接,但图标上有?符号,并且互联网无法正常工作,我正在使用 Ubuntu 21.04。 请告诉我如何撤消此操作

答案1

您输入的 iptables 规则不应该导致互联网停止工作,因此可能存在一些您未与我们分享的背景信息。也许是 UFW 或其他地方的一些先前规则,这些添加的规则搞乱了。

要撤销您的情况,您可以清除规则集或一次撤销一条规则。一次撤销一条规则可能会让您确定哪条规则破坏了您的互联网访问。

从您添加的规则开始:

doug@s19:~/prime95$ sudo iptables -xvnL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
      20      820 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:!0x17/0x02 state NEW
       0        0 DROP       all  -f  *      *       0.0.0.0/0            0.0.0.0/0
       0        0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x3F/0x3F
       0        0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x3F/0x00

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination

对于撤消方法,只需将“附加”指令更改为“删除”指令,然后重新输入规则:

doug@s19:~/prime95$ sudo iptables -D INPUT -p tcp --tcp-flags ALL NONE -j DROP

现在:

doug@s19:~/prime95$ sudo iptables -xvnL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
      20      820 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:!0x17/0x02 state NEW
       0        0 DROP       all  -f  *      *       0.0.0.0/0            0.0.0.0/0
       0        0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x3F/0x3F

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination

对所有规则重复此操作:

doug@s19:~/prime95$ sudo iptables -D INPUT -p tcp --tcp-flags ALL ALL -j DROP
doug@s19:~/prime95$ sudo iptables -D INPUT -f -j DROP
doug@s19:~/prime95$ sudo iptables -D INPUT -p tcp ! --syn -m state --state NEW -j DROP
doug@s19:~/prime95$ sudo iptables -xvnL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination

相关内容