开发者学堂课程【iptables 安全第三课时：iptables 与系统安全】学习笔记，与课程紧密联系，让用户快速学习知识。

课程地址：https://developer.aliyun.com/learning/course/792/detail/13853

iptables 与系统安全

内容简介

一、ICMP防御

二、ICMP防御规则

三、规则讲解

四、ICMP类型

五、阻止所有未经允许的包

一、ICMP防御

· 黑客可以通过僵尸网络，针对ICMP协议发动DDoS攻击，从而使你的业务无法正常服务;

· ICMP的一些漏洞可能会导致你的系统出现安全管理风险;

· 不是所有的ICMP协议的规则都需要阻断，否则会影响使用;

二、ICMP防御规则

iptables -A INPUT -m conntrack -p icmp --icmp-type 3 --ctstate NEW ,ESTABLTSHED,RELATED -j ACCEPT（注：-m表示引入一些特殊模块）

iptables -A INPUT -m conntrack -p icmp --icmp-type 11 --ctstate NEw,ESTABLTSHED,RELATED -j ACCEPT

iptables -A INPUT -m conntrack -p icmp --icmp-type 12 --ctstate NEW,ESTABLTSHED,RELATED -j ACCEPT

三、规则讲解

· -m conntrack表示使用了conntrack模块来允许处于特定状态的包;在这个规则中，允许那些已经链接链接的包(ESTABLISHED.RELATED )，也允许新的数据包;

· -p 配置ICMP协议

· --icmp-type允许那些特定类型的ICMP信息

四、ICMP类型

· type3:用于获取目标是否可到达信息;

· type11:用于获取到达目标前，数据包已经超过了TTL的生存周期的信息；

· type12:用于获取数据包有错误的IP头等信息 ;

· type0和type8:用于返回给源主机主机活动状态的信息，建议在解决网络问题时临时开放;

· type5:重定向消息，可能被黑客利用;

五、阻止所有未经允许的包

·在设定了安全规则后，就可以屏蔽掉所有未经允许的包，从而将规则从黑名单模式调整为更加安全的白名单模式。

· iptables -P INPUT DROP