日期:2014-05-16  浏览次数:20652 次

请教Linux防火墙的问题
一、我在路由器的PREROUTING 链添加了下面两个规则(理论上是不可DROP的,不过特殊需要了)
iptables -t nat -A PREROUTING -i eth0 -p icmp -m icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p icmp -j DROP
问题是
1、能否拦截ping of death?如果不行,该如何配置呢?
2、能否拦截ping flood?如果不行,该如何配置呢?
3、为什么路由器还能ping通eth0外面的PC?

二、etho 1 > /proc/sys/net/ipv4/conf/all/arp_attack会起到多大效果?
能否防御ARP泛洪、ARP响应泛洪攻击和常见的ARP木马 ?

三、echo 1>/proc/sys/net/ipv4/conf/all/rp_filter 是否能解决IP欺骗?

本人新手,谢谢了


------解决方案--------------------
1. 是不是不能只从nat这个表来考虑,ipatables也是一知半解,说错了担待
2. 二三说的这两种方法应该有效,但是不要抱太大希望
3. 总结,看来我对着方面的了解很匮乏啊,友情帮顶!!