主页 / user-359667

SoabTI's questions

Martin Hope
SoabTI
Asked: 2016-11-29 08:53:12 +0800 CST
  • 0

如何阻止 iptables 从绑定发送到同一 IP 地址的拒绝数据包序列?

我考虑过使用字符串扩展名来寻找“拒绝”。这会保护 dns 免受 DoS 攻击吗?

我的尝试:

iptables -A INPUT -p udp -m udp --sport 53 -m string --string "Refused" --algo bm -m recent --set --name block-dns --rsource
iptables -A INPUT -p udp -m udp --sport 53 -m string --string "Refused" --algo bm -m recent --rcheck --seconds 10 --hitcount 1 --name block-dns --rsource -j DROP
domain-name-system iptables
Martin Hope
SoabTI
Asked: 2016-08-26 17:43:44 +0800 CST
  • 0

我正在尝试将 iptables 配置为dns 服务器的DROP默认策略INPUT,但出现了问题。OUTPUT

这是我的 iptables 脚本

iptables -P INPUT DROP 
iptables -I INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT

iptables -P OUTPUT DROP
iptables -I OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 53 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --sport 53 -j ACCEPT

有一些数据包丢失,因为依赖此服务 dns 的计算机仅在清理 iptables 时才能导航。我哪里错了?

domain-name-system iptables
Martin Hope
SoabTI
Asked: 2016-06-10 06:06:57 +0800 CST
  • 0

我使用以下规则配置了 iptables:

iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -I INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED, RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

但 nmap 指责除了80, 22 and 53

root @ ns1: / # iptables -L
Chain INPUT (policy DROP)
target prot opt ​​source destination
ACCEPT all - anywhere anywhere
ACCEPT tcp - anywhere anywhere tcp dpt: ssh
ACCEPT tcp - anywhere anywhere tcp dpt: http
ACCEPT tcp - anywhere anywhere tcp dpt: https
ACCEPT all - anywhere anywhere ctstate RELATED, ESTABLISHED
ACCEPT tcp - anywhere anywhere tcp dpt: domain
ACCEPT udp - anywhere anywhere udp dpt: domain

Chain FORWARD (policy ACCEPT)
target prot opt ​​source destination

Chain OUTPUT (policy ACCEPT)
target prot opt ​​source destination
root @ ns1: / # nmap -vv 10.0.0.2
...
PORT STATE SERVICE
22 / tcp open ssh
53 / tcp open domain
80 / tcp open http
111 / tcp open rpcbind
139 / tcp open netbios-ssn
445 / tcp open microsoft-ds
...

可能会发生什么?我相信这些端口111 139 445不会出现

debian iptables nmap