开发者学堂课程【iptables 安全第三课时:iptables 与系统安全】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/792/detail/13853
iptables 与系统安全
内容简介
一、ICMP防御
二、ICMP防御规则
三、规则讲解
四、ICMP类型
五、阻止所有未经允许的包
一、ICMP防御
· 黑客可以通过僵尸网络,针对ICMP协议发动DDoS攻击,从而使你的业务无法正常服务;
· ICMP的一些漏洞可能会导致你的系统出现安全管理风险;
· 不是所有的ICMP协议的规则都需要阻断,否则会影响使用;
二、ICMP防御规则
iptables -A INPUT -m conntrack -p icmp --icmp-type 3 --ctstate NEW ,ESTABLTSHED,RELATED -j ACCEPT(注:-m表示引入一些特殊模块)
iptables -A INPUT -m conntrack -p icmp --icmp-type 11 --ctstate NEw,ESTABLTSHED,RELATED -j ACCEPT
iptables -A INPUT -m conntrack -p icmp --icmp-type 12 --ctstate NEW,ESTABLTSHED,RELATED -j ACCEPT
三、规则讲解
· -m conntrack表示使用了conntrack模块来允许处于特定状态的包;在这个规则中,允许那些已经链接链接的包(ESTABLISHED.RELATED ),也允许新的数据包;
· -p 配置ICMP协议
· --icmp-type允许那些特定类型的ICMP信息
四、ICMP类型
· type3:用于获取目标是否可到达信息;
· type11:用于获取到达目标前,数据包已经超过了TTL的生存周期的信息;
· type12:用于获取数据包有错误的IP头等信息 ;
· type0和type8:用于返回给源主机主机活动状态的信息,建议在解决网络问题时临时开放;
· type5:重定向消息,可能被黑客利用;
五、阻止所有未经允许的包
·在设定了安全规则后,就可以屏蔽掉所有未经允许的包,从而将规则从黑名单模式调整为更加安全的白名单模式。
· iptables -P INPUT DROP