WEB开发网
开发学院网络安全防火墙 动态iptables 防火墙 阅读

动态iptables 防火墙

 2007-03-04 12:42:32 来源:WEB开发网   
核心提示: 响应攻击我迅速使用 vi 打开防火墙设置脚本,并开始改动 iptables 规则、修改防火墙,动态iptables 防火墙(2),这样它就可以阻止那些 Bob 发出的恶意进入信息包,大约一分钟左右,由于这个脚本可以让我不必手工编辑防火墙规则,这就消除了出错的主要根源,我找到了添加合适 DR

响应攻击

我迅速使用 vi 打开防火墙设置脚本,并开始改动 iptables 规则、修改防火墙,这样它就可以阻止那些 Bob 发出的恶意进入信息包。大约一分钟左右,我找到了添加合适 DROP 规则的确切位置,并添加了这些规则。然后,我启动防火墙,但又马上停止了它……哎,我在添加规则时犯了一个小错。我再次装入防火墙脚本,改正问题,30 秒之后,将已将防火墙调整成阻止这个月内 Bob 发起的所有攻击。起先,它似乎成功地挫败了攻击……直到问讯台的电话铃声响起。显然,Bob 已经中断我的网络大约 10 分钟,现在我的客户打电话来询问究竟发生了什么情况。更遭的是,几分钟后,我发现上行链路又被占满了。看来 Bob 这次使用了一组全新的 IP 地址来实施攻击。我也做出响应,立即开始修改防火墙脚本,只不过这次我有一点惊慌 -- 也许我的解决方案还不那么完美。

以下就是上述情况中出错的原因。虽然我有一个不错的防火墙,还迅速标识了网络问题的原因,但我无法修改防火墙的行为以使它能够及时应付威胁。当然,当网络受到攻击时,您希望能够立即响应,在紧急状态下被迫修改主防火墙设置脚本不仅在时间上很紧迫,而且效率非常低。

ipdrop

如果有一个特别设计的特殊 "ipdrop" 脚本,它可以插入阻止我指定的 IP 地址所需的规则,那么情况会好多了。有了这样的脚本,阻止防火墙就不再是两分钟的折磨;它只需 5 秒钟。由于这个脚本可以让我不必手工编辑防火墙规则,这就消除了出错的主要根源。我所要做的只是确定要阻止的 IP 地址,然后输入:

#
    
    ipdrop 129.24.8.1 on
IP 129.24.8.1 drop on.
   

上一页  1 2 3 4 5 6  下一页

Tags:动态 iptables 防火墙

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接