我们在下面的iptables规则存在于我们的web前端框中以防止IP欺骗:
-A INPUT -s 255.0.0.0/8 -j LOG --log-prefix "Spoofed source IP" -A INPUT -s 255.0.0.0/8 -j DROP -A INPUT -s 0.0.0.0/8 -j LOG --log-prefix "Spoofed source IP" -A INPUT -s 0.0.0.0/8 -j DROP 我们现在要添加以下规则来进一步加强IP欺骗防范
-A INPUT -s 224.0.0.0/3 -j LOG --log-prefix "Spoofed source IP" -A INPUT -s 255.0.0.0/8 -j DROP -A INPUT –s 169.254.0.0/16 -j LOG --log-prefix "Spoofed source IP" -A INPUT -s 169.254.0.0/16 -j DROP -A INPUT –s 240.0.0.0/5 -j LOG --log-prefix "Spoofed source IP" -A INPUT -s 240.0.0.0/5 -j DROP
您是否build议在运行Apache httpd的生产环境中添加上述规则作为反向代理? 该生产箱位于F5负载平衡器的后面。
另外,我们是否需要为以上规则启用以下内核参数才能有效工作?
net.ipv4.conf.all.rp_filter=1 net.ipv4.conf.all.log_martians=1 net.ipv4.conf.default.log_martians=1
我在这看到的唯一问题是,如果来自240.0.0.0 WAS合法的请求,它将阻止它不允许它到达服务器。
对于IP欺骗,由于可以生成合法的地址(作为程序员),所以很难知道它是否是恶搞。
唯一的select是“安全”将是只阻止淹没您的服务器的特定地址。