北京北大青鳥校區學術部:Linux的iptables入門教程--設置靜態防火墻 之四
北京北大青鳥校區學術部提供:
北京北大青鳥校區:Linux的iptables入門教程--設置靜態防火墻之一
北京北大青鳥校區:Linux的iptables入門教程--設置靜態防火墻 之二
北京北大青鳥校區:Linux的iptables入門教程--設置靜態防火墻 之三
11����、使你的防火墻更加完善
看上面的腳本init部分的倒數第二句. (北京北大青鳥校區)
iptables -P INPUT DROP
這是給防火墻設置默認規則�����。當進入我們計算機的數據�����,不匹配我們的任何一個條件時����,那么就由默認規則來處理這個數據----drop掉,不給發送方任何應答�����。(北京北大青鳥校區)
也就是說,如果你從internet另外的一臺計算機上ping你的主機的話,ping會一直停在那里�����,沒有回應�����。
如果黑客用namp工具對你的電腦進行端口掃描����,那么它會提示黑客,你的計算機處于防火墻的保護之中��。我可不想讓黑客對我的計算機了解太多��,怎么辦�����,如果我們把drop改成其他的動作,或許能夠騙過這位剛出道的黑客呢�����。(北京北大青鳥校區)
怎么改呢��?將剛才的那一句( iptables -P INPUT DROP )去掉�����,在腳本的最后面加上
iptables -A INPUT -i ppp0 -p tcp -j REJECT --reject-with tcp-reset
iptables -A INPUT -i ppp0 -p udp -j REJECT --reject-with icmp-port-unreachable
這樣就好多了,黑客雖然能掃描出我們所開放的端口�����,但是他卻很難知道����,我們的機器處在防火墻的保護之中��。如果你只運行了ftp并且僅僅對局域網內部訪問,他很難知道你是否運行了ftp����。在此我們給不應該進入我們機器的數據��,一個欺騙性的回答�����,而不是丟棄(drop)后就不再理會。這一個功能��,在我們設計有狀態的防火墻中(我這里講的是靜態的防火墻)特別有用。(北京北大青鳥校區)
你可以親自操作一下��,看一看修改前后用namp掃描得到的結果會有什么不同��?(北京北大青鳥校區)(未完待續)
