动态iptables防火墙dynfw

核心提示： 阻止攻击 我马上采取行动，加载我的防火墙启动脚本并使用vi对 iptables 规则进行编辑，动态iptables防火墙dynfw(2)，来阻塞这些Bob发出的恶意攻击数据的源地址的数据报，大约一分钟以后我找到了在防火墙启动脚本中添加新的DROP规则的位置，因此阻塞Bob的攻击将变为确定其

阻止攻击

我马上采取行动，加载我的防火墙启动脚本并使用vi对 iptables 规则进行编辑，来阻塞这些Bob发出的恶意攻击数据的源地址的数据报。大约一分钟以后我找到了在防火墙启动脚本中添加新的DROP规则的位置，我马上添加了新的规则并重新启动了防火墙。很快防火墙发挥了作用，Bob的攻击得到了遏制。现在看起来我成功的击溃了Bob的攻击，可是不久网络值班电话又响了起来，原来是客户发现网络不可用而打过来的投诉电话。可是更加糟糕的是几分钟以后我注意到我的Internet连接线路又开始出现严重阻塞。我仔细察看原来是Bob使用了新的IP地址进行攻击行动。我只好不得不再次修改防火墙启动脚本来阻止它的攻击。我就这样一直在Bob的屁股后面疲于奔命。

问题出在哪里呢？虽然我建立了功能完备的、满足安全需求的防火墙系统并且快速的发现了网络出现问题的原因，但是我却不能在第一时间内对我的防火墙规则进行调整来响应Bob的攻击。当网络被攻击时，被动慌乱地快速对攻击做出防范反应，对防火墙规则配置脚本进行修改不但是压力巨大，而且效率低下。

ipdrop

如果能创建一个特殊的"ipdrop"脚本，其被设计为能方便地插入一个规则来阻塞指定的IP，那么将上面的工作将非常容易。通过该脚本阻塞某个IP将是非常容易的工作，只需要几秒钟就可以实现。而且通过该脚本还可以防止手工加入规则时容易出现的错误。因此阻塞Bob的攻击将变为确定其攻击源地址。然后通过如下命令：

# ipdrop 129.24.8.1 on

IP 129.24.8.1 drop on.

ipdrop脚本将立即阻塞129.24.8.1。通过使用该脚本能显著地提高你的防卫能力。下面就是ipdrop脚本的实现：

The ipdrop bash script