Linux网络安全技术与实现(性能)

1 防火墙自上而下的规则写法,减少规则匹配


image.png

iptables -L -n -v
2 多使用multiport iprange


image.png

image.png

3 nf_conntrack_max
image.png

nf_conntrack 连接跟踪表


image.png

4 不让nf_conntrack跟踪
iptables -t raw -A PREROUTING -i eth2 -o eth1 -p tcp --dport 25 -j NOTRACK
iptables -t raw -A PREROUTING -i eth1 -o eth2 -p tcp --dport 25 -j NOTRACK
image.png

5 nf_conntrack_ftp协议处理ftp
image.png

image.png

6 DNAT
image.png

7 用recent模块抵御端口扫描


image.png

8 string和recent来拒绝密码破解
image.png

10分钟内尝试4次连接就错误
image.png

三次握手:syn_sent syn_recent established
防御syn攻击
net.ipv4.tcp_synack_retries 3
net.ipv4.tcp_max_syn_backlog 2048
net.ipv4.tcp_syncookies 1
限制1分钟内连接请求数
image.png
©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成,浏览时请结合常识与多方信息审慎甄别。
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

相关阅读更多精彩内容

友情链接更多精彩内容