1. 程式人生 > >iptables擴充套件模組tcp的擴充套件匹配條件 --tcp-flags

iptables擴充套件模組tcp的擴充套件匹配條件 --tcp-flags

轉載自http://www.zsythink.net/archives/1578

防止SYN攻擊,可以在iptables中做如下配置

-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP 
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP 
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP 
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP 
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP 
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP 
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP 
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP 
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP