防火墙TCP wrappers透过客户端想要链接的程序文件名,分析客户端的IP,看看是否需要放行。

/etc/host.allow,/etc/host.deny。满足两个条件的软件才能使用这个机制,1)由super daemon(xinetd)管理的服务;2)支持libwrap.so模块的服务---ldd命令查看。

 

 

iptables:   表格fiter(input,output,forward)、nat(prerouting、postrouting、output)、mangle(input、output、forward、prerouting)。表格中有链(chains)。

iptables -t fiter(nat) -L (列出所有规则)-F清除所有规则 -X杀掉所有自定义链 -Z将所有计数统计归零【清除所有规则但不会改变预设政策policy】 -P INPUT DROP(定义input链的预设政策)

iptables-save列出完整规则

iptables -t nat -AI 链名 -io 网络接口 -p 协议--sport(dport)端口(端口一定要跟-p协议联合使用) -s/d IP网域 -j ACCEPT DROP REJECT                 -p --syn(主动连机)

 

iptables外挂 mac state:   iptables  -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables - A INPUT -m mac --mac-source AAAAHHHHH -j ACCEPT

 

ICMP封包比对:iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j DROP

 

ipv4核心管理功能 /proc/sys/net/ipv4/*

预防阻断式服务DoS***的一种SYN Flooding,可以启用SYN cookie模块。

echo "1">/proc/sys/net/ipv4/tcp_syncookies

预防ping flooding及ping of death可以取消ICMP类型8的ICMP封包回应。

echo "1">/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts(ping  broadcast地址取消ping回应)或者icmp_echo_ignore_all(取消所有ping回应)

 /proc/sys/net/ipv4/网络接口(eth0)/conf