iptables -N NEW_TCP_PACKETS_NO_SYN
iptables -A INPUT NEW_TCP_PACKETS_NO_SYN -p tcp! –syn -m state –state NEW -m limit –limit 10 / day -j LOG –log-prefix“New packets but not syn:”
iptables -A INPUT NEW_TCP_PACKETS_NO_SYN -p tcp! –syn -m状态 – 状态NEW -j DROP
iptables -A INPUT NEW_TCP_PACKETS_NO_SYN -f -j DROP
1)我正在用-N选项创build一个新的用户生成链
2)我正在logging不是syn的新数据包,而且我正在添加一个限制,以防止我的日志文件被淹没
3)我丢弃不是SYN的新数据包
4)我正在使用-f,因为我留下了碎片的数据包,我想丢弃这些数据包。
一个build议,以改善类似的东西在这里findhttps://serverfault.com/a/245713/114606 ,这是添加它在-t raw -A PREROUTING
A)我不太明白正在说什么,我怎么把它添加进去?
而且这似乎是一件有风险的事情,因为它在数据包上设置了一个标记,不应该由连接跟踪系统处理。
B)为什么这是必要的? 我正在丢弃这些数据包,那么标记这些数据包的好处是什么呢?
所有这一切,是否有什么可以做,当我得到最初的SYN片段,但我没有得到最后一个?