主题: Linux 防火墙：添加规则屏蔽 RST 攻击，

[jingyue]

任何 Linux 操作系统，root 权限下，只要在 [ 终端 ] 内执行下面这一条命令，就会临时添加一条有效屏蔽 RST 攻击的  iptables 防火墙规则，

iptables -I INPUT 1 -p tcp -m tcp --tcp-flags RST RST -j DROP

注意，是临时的，操作系统重启之后，临时添加的那一条规则就会消失，

[jingyue]

Linux 操作系统 openSUSE 42.3 自带的 iptables 防火墙自动配置脚本文件 SuSEfirewall2 位于 /usr/sbin，默认已经启用，
脚本文件 SuSEfirewall2 添加一条过滤规则即可屏蔽来自 GFW 的 RST 网络攻击数据包，

直接用火狐浏览器把 SuSEfirewall2 复制到用户当前目录下，

鼠标右键 ——> 用 Kate 文本编辑器打开，

 在 # loopback is always allowed  开头的一段结尾之后，在  # Special REJECT function # 之前，显示行号大约 955 行之后，添加下面这一条规则：   

    $IPTABLES -A INPUT -p tcp --tcp-flags RST RST -j DROP

保存，然后打开 [ 终端 ]，在 root 权限下，把修改之后的 SuSEfirewall2 拷贝到 / usr/sbin 即可，

# cp SuSEfirewall2 /usr/sbin

重启电脑系统，新的防火墙规则生效，

查看 iptables 防火墙规则，

# iptables -S

仅供参考，

[jingyue]

添加了屏蔽 RST 数据包的规则，实例，（ 规则局部，前半部分 ），

# iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N forward_ext
-N input_ext
-N reject_func
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags RST RST -j DROP
-A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m conntrack --ctstate RELATED -j ACCEPT

{以下内容省略}

其中 “ -A INPUT -p tcp -m tcp --tcp-flags RST RST -j DROP ” 这一条就是添加的过滤规则，必须放在 “ -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT ” 之前执行，否则不能过滤掉 RST 数据包，

[a132211]

你这招有点缓解效果
drop数据你就没招了 不是么?