我正在研究一些iptables防火墙规则,并且已经看到许多示例表明阻止来自不可路由的IP地址空间的潜在不可能的流量的重要性.这将包括来自RFC 1918,RFC 1700,RFC 5735,RFC 3927,RFC 3068,RFC 2544,RFC 5737,RFC 3171和RFC 919的项目.一些示例包括以下内容:
> $CURRENT_IP
> 0.0.0.0/8
> 10.0.0.0/8
> 127.0.0.0/8
> 169.254.0.0/16
> 172.16.0.0/12
> 192.0.0.0/24
> 192.0.2.0/24
> 192.88.99.0/24
> 192.168.0.0/16
> 198.18.0.0/15
> 198.51.100.0/24
> 203.0.113.0/24
> 224.0.0.0/4
> 240.0.0.0/4
> 255.255.255.255
一些示例表明,如果它是流量的来源,您只需要担心检查此流量.示例:
$IPT -A ANTISPOOF -s 0.0.0.0/8 -m limit --limit 5/min --limit-burst 5 -j LOG --log-prefix "Denied Spoofed Source IP Address: "
$IPT -A ANTISPOOF -s 0.0.0.0/8 -j DROP
在其他示例中,在他们检查输入和输出的源和目的地时采取更积极的姿态.例子包括:
iptables -A INPUT -d 172.0.0.0/8 -j DROP
iptables -A INPUT -s 172.0.0.0/8 -j DROP
iptables -A OUTPUT -d 172.0.0.0/8 -j DROP
iptables -A OUTPUT -s 172.0.0.0/8 -j DROP
我仍然提出以下问题:
>我是否需要在项目符号列表中检查上面列出的IP范围的源地址?
>我是否需要在项目符号列表中检查上面列出的IP范围的目标地址?
>为上面列出的包含INPUT和OUTPUT链的IP范围创建规则很重要吗?
>上面的项目符号列表中是否遗漏了我忘记检查的IP范围?
在此先感谢您的帮助.