站内公告:

亲友传真---海外信息直接看 https://qycz.org

Main Menu

Linux 防火墙:添加规则屏蔽 RST 攻击,

作者 jingyue, 九月 09, 2017, 01:22:52 上午

jingyue

任何 Linux 操作系统,root 权限下,只要在 [ 终端 ] 内执行下面这一条命令,就会临时添加一条有效屏蔽 RST 攻击的  iptables 防火墙规则,
引用
iptables -I INPUT 1 -p tcp -m tcp --tcp-flags RST RST -j DROP
注意,是临时的,操作系统重启之后,临时添加的那一条规则就会消失,

https://www.minghui.org/mh/articles/2023/1/20/为什么会有人类-455562.html
https://www.minghui.org/mh/articles/2023/4/17/为什么要救度众生-458929.htm

https://www.minghui.org/mh/articles/2024/9/30/为什么人类是迷的社会-483472.html
世上几人醒
https://gb.falundafa.org/chigb/hy4/hy4-051.htm

https://www.minghui.org/mh/articles/2024/8/5/深蓝色的法轮-480298.html
https://www.minghui.org/mh/articles/2010/5/18/【征稿选登】李洪志师父在92东方健康博览会的奇迹-223842.html
https://www.minghui.org/mh/articles/2012/11/3/未来人的神话——忆师尊在哈尔滨传法-264844.html
https://www.minghui.org/mh/articles/2014/5/11/【庆祝513】回忆师尊在北京传法的片段-291380.html
https://www.minghui.org/mh/articles/2022/5/21/【庆祝513】忆师恩-万载难遇的机缘(上)-442904.html
https://www.minghui.org/mh/articles/2022/5/21/【庆祝513】忆师恩-万载难遇的机缘(下)-443903.html
https://www.minghui.org/mh/articles/2023/6/11/在东方博览会上见证师父的神通法力-461847.html
https://www.minghui.org/mh/articles/2024/1/15/一名英国学员在神韵演出现场看到的(译文)-471044.html

jingyue

Linux 操作系统 openSUSE 42.3 自带的 iptables 防火墙自动配置脚本文件 SuSEfirewall2 位于 /usr/sbin,默认已经启用,
脚本文件 SuSEfirewall2 添加一条过滤规则即可屏蔽来自 GFW 的 RST 网络攻击数据包,

直接用火狐浏览器把 SuSEfirewall2 复制到用户当前目录下,

鼠标右键 ——> 用 Kate 文本编辑器打开,

在 # loopback is always allowed  开头的一段结尾之后,在  # Special REJECT function # 之前,显示行号大约 955 行之后,添加下面这一条规则:   

    $IPTABLES -A INPUT -p tcp --tcp-flags RST RST -j DROP

保存,然后打开 [ 终端 ],在 root 权限下,把修改之后的 SuSEfirewall2 拷贝到 / usr/sbin 即可,
引用
# cp SuSEfirewall2 /usr/sbin
重启电脑系统,新的防火墙规则生效,

查看 iptables 防火墙规则,
引用
# iptables -S
仅供参考,
https://www.minghui.org/mh/articles/2023/1/20/为什么会有人类-455562.html
https://www.minghui.org/mh/articles/2023/4/17/为什么要救度众生-458929.htm

https://www.minghui.org/mh/articles/2024/9/30/为什么人类是迷的社会-483472.html
世上几人醒
https://gb.falundafa.org/chigb/hy4/hy4-051.htm

https://www.minghui.org/mh/articles/2024/8/5/深蓝色的法轮-480298.html
https://www.minghui.org/mh/articles/2010/5/18/【征稿选登】李洪志师父在92东方健康博览会的奇迹-223842.html
https://www.minghui.org/mh/articles/2012/11/3/未来人的神话——忆师尊在哈尔滨传法-264844.html
https://www.minghui.org/mh/articles/2014/5/11/【庆祝513】回忆师尊在北京传法的片段-291380.html
https://www.minghui.org/mh/articles/2022/5/21/【庆祝513】忆师恩-万载难遇的机缘(上)-442904.html
https://www.minghui.org/mh/articles/2022/5/21/【庆祝513】忆师恩-万载难遇的机缘(下)-443903.html
https://www.minghui.org/mh/articles/2023/6/11/在东方博览会上见证师父的神通法力-461847.html
https://www.minghui.org/mh/articles/2024/1/15/一名英国学员在神韵演出现场看到的(译文)-471044.html

jingyue

添加了屏蔽 RST 数据包的规则,实例,( 规则局部,前半部分 ),
引用
# iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N forward_ext
-N input_ext
-N reject_func
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags RST RST -j DROP
-A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m conntrack --ctstate RELATED -j ACCEPT

{以下内容省略}

其中 " -A INPUT -p tcp -m tcp --tcp-flags RST RST -j DROP " 这一条就是添加的过滤规则,必须放在 " -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT " 之前执行,否则不能过滤掉 RST 数据包,

https://www.minghui.org/mh/articles/2023/1/20/为什么会有人类-455562.html
https://www.minghui.org/mh/articles/2023/4/17/为什么要救度众生-458929.htm

https://www.minghui.org/mh/articles/2024/9/30/为什么人类是迷的社会-483472.html
世上几人醒
https://gb.falundafa.org/chigb/hy4/hy4-051.htm

https://www.minghui.org/mh/articles/2024/8/5/深蓝色的法轮-480298.html
https://www.minghui.org/mh/articles/2010/5/18/【征稿选登】李洪志师父在92东方健康博览会的奇迹-223842.html
https://www.minghui.org/mh/articles/2012/11/3/未来人的神话——忆师尊在哈尔滨传法-264844.html
https://www.minghui.org/mh/articles/2014/5/11/【庆祝513】回忆师尊在北京传法的片段-291380.html
https://www.minghui.org/mh/articles/2022/5/21/【庆祝513】忆师恩-万载难遇的机缘(上)-442904.html
https://www.minghui.org/mh/articles/2022/5/21/【庆祝513】忆师恩-万载难遇的机缘(下)-443903.html
https://www.minghui.org/mh/articles/2023/6/11/在东方博览会上见证师父的神通法力-461847.html
https://www.minghui.org/mh/articles/2024/1/15/一名英国学员在神韵演出现场看到的(译文)-471044.html

a132211


快速回复

警告: 该贴已经至少 180 天没有更改。
除非你一定要回复,否则也许考虑发一个新贴会更好。

Note: this post will not display until it has been approved by a moderator.

名称:
电子邮件:
验证码:
请将此框留空:
《九评共产党》一共有几评?(请用阿拉伯数字回答):
Shortcuts: ALT+S post or ALT+P preview