使用iptables设定一些安全防护功能(1)

　　作者: kenduest (小州)
　　常看到有人乱使用 port scan 软件，(ex:nmap) 来乱扫他人的 port，
　　实在很讨厌 @_@
　　
　　这里提供几个方式，透过 linux kernel 2.4 的新核心机制 + iptables
　　来进行一些设限:
　　
　　# NMAP FIN/URG/PSH
　　iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
　　
　　# Xmas Tree
　　iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP
　　
　　# Another Xmas Tree
　　iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
　　
　　# Null Scan(possibly)
　　iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP
　　
　　# SYN/RST
　　iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
　　
　　# SYN/FIN -- Scan(possibly)
　　iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
　　
　　这是针对一些像是使用 scan 软件，配合所谓的 Stealth 等机制去乱扫他人
　　主机时，可以把这些封包丢弃不处理。那对方一扫就卡死了，或者是
　　要等联机 timeout 才能够继续工作，拉长 scan 所需的时间。