其实,使用SYN不能关闭所有的端口,古则将会把自己完全“与世隔绝”也不能只指定某些端口处于打开状态,因为无法预见哪一个端口将会被使用。事实上,简单地允许目的地为某一特定端口的数据流通过将对阻止器意的攻击毫无意义。
要设置一个有效的规则,可以允许普通用户正常通过,又可以阻止恶意攻击者访间网络。为此,可以充分利用SYN标识来阻止那些未经授权的访问.因为tables只检测数据包的报头,所以不会增加有效负荷。事实上,除tables以外,很多其他有用的数据包分析都是基于报头的。比如,在web冲浪时,一个请求从用户的PC发送至其他某一个地方的Web服务器之上。
然后该服务器就会响应请求向用户发回一个数据包并且得到用户系统上的一个临时端口。与响应请求不同的是,服务器并不关心所传送的内容。可以利用这种特点来设置一个规则,使其阻止所有没有经过系统授权的TCP连接:Eiptables-tfilter-aINPUT-ietho-Ptcp--ayn-JDROP这里的-1指的是网卡,-P指指协议,-syn表示带有SYN标识设置的TCP数据括包。从中可以看出,对TCP/IP的了解将非常有利于维护网络安全。
SYN用于初始化一个TCP连接,如果在自己的机器上没有运行任何服务器,他人也不会发送SYN数据包。DMZ和iptables可以设置一些把交通选路发送到某些机器(如专用HTTP或FTP服务器)的规则,这些机器最好位于停火区域(De-MilitarizedZone,DMZ)并和内部网络分开。
要设置一条把所有进入的HTP请求都选路发送到IPp地址为10.04.2且端口为80(LAN192.168.1.024范围之外)的专用HTP服务器的规则,网络地址转换会调用PREROUTING链来把这些分组转发到恰当的目的地:ptables-tnat-aprerouting-1etho-ptcp--dport80-3DNATVco-destination10.0.4.2:80使用这个命令,所有来自LAN以外的到端口80的HTTP连接都会被选路发送到和内部网路分离的另一个网络上的HTTP服务器上,这种网络分段会比允许到内部网络中的机器上的HP连接更安全。如果HTTP服务器被配置接受安全连接,那么端口443也必须被转发。
防范病毒和假冒IP地址可以更精心设计一些规则来控制到LAN内指定子网的访问,甚至访问指定机器。还可以制某些类似特洛伊木马、蠕虫,以及其他客户端服务器病毒的可疑服务,联系其服务器。例如有些特洛伊木马会扫描端口31337~31340(即即黑客语言中的eite端端口)上的服务。
小编结语:既然合跟务都不使用这些非标准端口来通信,阻塞这些端口能够有效地减少网络上可能被感染的机及其远程主服务器进行独立通信的机会,也可以阻塞试图假冒所在LAN的专用IP地址混入的连接。例如,如果LAN使用168.1.024范围,面向Intemet的网络设备(如eth0)上就可以设置一条规则来放弃到那个备的使用所在LAN的P范围的分组。
¥1888.00
¥10500.00
¥499.00
¥5999.00
¥49.00