北京北大青鳥(niǎo)校區(qū)學(xué)術(shù)部提供:
北京北大青鳥(niǎo)校區(qū):Linux的iptables入門(mén)教程--設(shè)置靜態(tài)防火墻之一
北京北大青鳥(niǎo)校區(qū):Linux的iptables入門(mén)教程--設(shè)置靜態(tài)防火墻 之二
北京北大青鳥(niǎo)校區(qū):Linux的iptables入門(mén)教程--設(shè)置靜態(tài)防火墻 之三
11、使你的防火墻更加完善
看上面的腳本init部分的倒數(shù)第二句. (北京北大青鳥(niǎo)校區(qū))
iptables -P INPUT DROP
這是給防火墻設(shè)置默認(rèn)規(guī)則。當(dāng)進(jìn)入我們計(jì)算機(jī)的數(shù)據(jù),不匹配我們的任何一個(gè)條件時(shí),那么就由默認(rèn)規(guī)則來(lái)處理這個(gè)數(shù)據(jù)----drop掉,不給發(fā)送方任何應(yīng)答。(北京北大青鳥(niǎo)校區(qū))
也就是說(shuō),如果你從internet另外的一臺(tái)計(jì)算機(jī)上ping你的主機(jī)的話,ping會(huì)一直停在那里,沒(méi)有回應(yīng)。
如果黑客用namp工具對(duì)你的電腦進(jìn)行端口掃描,那么它會(huì)提示黑客,你的計(jì)算機(jī)處于防火墻的保護(hù)之中。我可不想讓黑客對(duì)我的計(jì)算機(jī)了解太多,怎么辦,如果我們把drop改成其他的動(dòng)作,或許能夠騙過(guò)這位剛出道的黑客呢。(北京北大青鳥(niǎo)校區(qū))
怎么改呢?將剛才的那一句( iptables -P INPUT DROP )去掉,在腳本的最后面加上
iptables -A INPUT -i ppp0 -p tcp -j REJECT --reject-with tcp-reset
iptables -A INPUT -i ppp0 -p udp -j REJECT --reject-with icmp-port-unreachable
這樣就好多了,黑客雖然能掃描出我們所開(kāi)放的端口,但是他卻很難知道,我們的機(jī)器處在防火墻的保護(hù)之中。如果你只運(yùn)行了ftp并且僅僅對(duì)局域網(wǎng)內(nèi)部訪問(wèn),他很難知道你是否運(yùn)行了ftp。在此我們給不應(yīng)該進(jìn)入我們機(jī)器的數(shù)據(jù),一個(gè)欺騙性的回答,而不是丟棄(drop)后就不再理會(huì)。這一個(gè)功能,在我們?cè)O(shè)計(jì)有狀態(tài)的防火墻中(我這里講的是靜態(tài)的防火墻)特別有用。(北京北大青鳥(niǎo)校區(qū))
你可以親自操作一下,看一看修改前后用namp掃描得到的結(jié)果會(huì)有什么不同?(北京北大青鳥(niǎo)校區(qū))(未完待續(xù))