NetFilter/iptables防火墙设置（下）

核心提示： 我在规则链的最顶端放置拦截规则，这样即使有对这种传输不起作用的规则也不会有什么问题了，NetFilter/iptables防火墙设置（下）(2)，在他们能处理之前，拦截规则过滤掉的传输会最先被丢弃，对问题主机不做回应，拦截网络也是类似的：iptables -A INPUT -i $IF_P

我在规则链的最顶端放置拦截规则。这样即使有对这种传输不起作用的规则也不会有什么问题了，在他们能处理之前，拦截规则过滤掉的传输会最先被丢弃。另外，拦截规则的优先级要足够高，这样它们就不会被其他能够识别传输并改道发送它们的规则所扰乱。例如，它拦截所有来自特定IP地址的传输，而比它高优先级的规则却以另一种理由接受同一个传输（比如，smtp认可）。

我的防火墙上有3套拦截规则。一个是针对协议的，一个针对源网络而最后一个是针对源主机的。我最后加的针对协议的这个规则是用来拒绝那些已知的被恶意利用的协议。例如，我完全屏蔽了IRC，因为它频繁地被用来控制僵尸网络，而且我现在也用不上IRC：

iptables -A INPUT -p tcp --dport irc -j DROP
iptables -A INPUT -p udp --dport irc -j DROP
iptables -A INPUT -p tcp --dport irc-serv -j DROP
iptables -A INPUT -p udp --dport irc-serv -j DROP
iptables -A INPUT -p tcp --dport ircs -j DROP
iptables -A INPUT -p udp --dport ircs -j DROP

以上语句拒绝TCP，UDP IRC，IRC服务器以及源IRC传输。

以下是一个拦截特定IP地址的主机的规则：

iptables -A INPUT -i $IF_PUB -s 10.220.231.236 -j REJECT --reject-with icmp-host-prohibited

这条规则拒绝那些到达公网接口的、来自IP地址10.220.231.236的传输。我是通过回应说主机被封锁了来拒绝这些传输，你也可以只是丢弃这些数据包，对问题主机不做回应。

拦截网络也是类似的：

iptables -A INPUT -i $IF_PUB -s 10.67.232.0/24 -j REJECT --reject-with icmp-net-prohibited这条规则拒绝到达公网接口的、源地址为10.67.232.0/24的网络。这次该传输的发送方会收到一条ICMP网络禁止的消息。

监视NetFilter防火墙