北京北大青鸟校区学术部提供:
北京北大青鸟校区:Linux的iptables入门教程--设置静态防火墙之一
北京北大青鸟校区:Linux的iptables入门教程--设置静态防火墙 之二
北京北大青鸟校区:Linux的iptables入门教程--设置静态防火墙 之三
11、使你的防火墙更加完善
看上面的脚本init部分的倒数第二句. (北京北大青鸟校区)
iptables -P INPUT DROP
这是给防火墙设置默认规则。当进入我们计算机的数据,不匹配我们的任何一个条件时,那么就由默认规则来处理这个数据----drop掉,不给发送方任何应答。(北京北大青鸟校区)
也就是说,如果你从internet另外的一台计算机上ping你的主机的话,ping会一直停在那里,没有回应。
如果黑客用namp工具对你的电脑进行端口扫描,那么它会提示黑客,你的计算机处于防火墙的保护之中。我可不想让黑客对我的计算机了解太多,怎么办,如果我们把drop改成其他的动作,或许能够骗过这位刚出道的黑客呢。(北京北大青鸟校区)
怎么改呢?将刚才的那一句( iptables -P INPUT DROP )去掉,在脚本的最后面加上
iptables -A INPUT -i ppp0 -p tcp -j REJECT --reject-with tcp-reset
iptables -A INPUT -i ppp0 -p udp -j REJECT --reject-with icmp-port-unreachable
这样就好多了,黑客虽然能扫描出我们所开放的端口,但是他却很难知道,我们的机器处在防火墙的保护之中。如果你只运行了ftp并且仅仅对局域网内部访问,他很难知道你是否运行了ftp。在此我们给不应该进入我们机器的数据,一个欺骗性的回答,而不是丢弃(drop)后就不再理会。这一个功能,在我们设计有状态的防火墙中(我这里讲的是静态的防火墙)特别有用。(北京北大青鸟校区)
你可以亲自操作一下,看一看修改前后用namp扫描得到的结果会有什么不同?(北京北大青鸟校区)(未完待续)
