Basta che abiliti in ingresso una sola volta i pacchetti con stato established o related, e vale per tutte le situazioni.
Quote:
# $ipt -A FORWARD -d $lan -p icmp ! --icmp-type echo-request -j ACCEPT
# $ipt -A FORWARD -d $lan -p icmp ! --icmp-type time-exceeded -j ACCEPT
|
Accetta tutti i pacchetti icmp tranne echo e timeout.
nb la documentazione dice che "!" va dopo --icmp-type...boh...
Quote:
#iptables -N syn-flood
#iptables -A INPUT -i $red -p tcp syn -j syn-flood
#iptables -A syn-flood -m limit limit 1/s limit-burst 4 -j RETURN
#iptables -A syn-flood -j DROP
|
Una piccola protezione per i DoS. Blocca i pacchetti tcp di tipo syn troppo frequenti.
Nella seconda riga occorrerebbe scrivere "--syn", non "syn"
Guarda man iptables per altre informazioni sui pacchetti syn; probabilmente nel tuo caso devi bloccare i pacchetti syn del tutto.
Quote:
|
#iptables -A FORWARD -d $lan -p icmp -j ACCEPT
|
Accetta tutti i pacchetti icmp destinati alla lan. Se č questo che vuoi, le righe su echo-request e time-exceeded non hanno senso.
__________________
0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al
andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12
|