我想阻止 nmap 的 ack ping 探测,为了做到这一点,我首先需要阻止所有传入端口 80 的 ack 数据包。我使用了这个命令,但它没有工作:
iptables -A INPUT -p tcp --dport 80 --tcp-falgs ALL ACK -j DROP
问题是它适用于 80 和 443 以外的任何端口,它们恰好是 http/https 协议的端口。有什么方法可以使这项工作并阻止这些端口上那些意外的 ACK 数据包?
这是我输入链中的所有规则:
iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 80 --tcp-flags ALL ACK -j LOG --log-prefix "PSAD: ACK PING "
iptables -A INPUT -p tcp --dport 80 --tcp-flags ALL ACK -j DROP
iptables -A INPUT -m conntrack --ctstate INVALID -j LOG --log-prefix "DROP INVALID " --log-ip-options --log-tcp-options
iptables -A INPUT -m conntrack --ctstate INVALID -j DROP
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
先感谢您...