Опишите: Я пытаюсь проверить блокируемые пакеты iptables.
# Drop Various Attacks
iptables -A INPUT -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
iptables -A INPUT -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -j DROP
iptables -A INPUT -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
iptables -A INPUT -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
iptables -A INPUT -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
...
# Drop Fragments
iptables -A INPUT -f -j DROP
Найти фрагменты удаления правил не эффективны.
Шаг теста: windows 10: 192.168.0.2 Linux (Ubuntu 16.04): 192.168.0.5
Случай 1: windows ping linux с опцией -l
ping 192.168.0.5 -l 3000 #icmp buffer size 3000
Result: ping OK.
Случай 2 : linux включить удаление фрагментов
Linux:
iptables -A INPUT -f -j DROP
win10:
ping 192.168.0.5 -l 3000
Result: ping OK.
Найти некоторую информацию о iptables -A INPUT -f: Удаление IP-фрагментов, вероятно, является устаревшим советом: ядро Linux может и будет автоматически собираться и исправляться. проверьте все фрагменты по мере необходимости в любом случае. Это происходит до того, как пакеты обрабатываются с помощью отслеживания соединения iptables, поэтому, вероятно, это правило может никогда ничего не совпадать.
В целом, мне кажется, что вы либо собираете различные правила брандмауэра, не полностью понимая, что они означают , или следуя устаревшим или неполным советам.
Мой вопрос: Как использовать пакеты отбрасываемых фрагментов iptable?