另外在 【教學】Coyote Linux 頻寬管制 (QoS) 設定教學
有提問:
請教一下linux_xp大大,
如果我把您曾經提供的 gw firewall script, 其中這一段
語法:
## 以下開始設定防火牆規則
# 設定 INPUT、OUTPUT、FORWARD 鏈預設的過濾原則, 凡封包
# 不符合各鏈中的規則, 皆予以拋棄
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# 允許流經 lookback 介面的封包進出
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i ! lo -s 127.0.0.0/8 -j DROP
iptables -A OUTPUT -o ! lo -d 127.0.0.0/8 -j DROP
# 新增一個名為 BADPKT 的新鏈
iptables -N BADPKT
# 丟棄所有進入 BADPKT 鏈的封包
iptables -A BADPKT -j DROP
# 將可疑封包交由 BADPKT 鏈處理 (不可能出現的 TCP 旗標狀態封包)
iptables -A INPUT -m state --state INVALID -j BADPKT
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j BADPKT
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j BADPKT
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j BADPKT
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j BADPKT
iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j BADPKT
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j BADPKT
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j BADPKT
iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j BADPKT
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j BADPKT
iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j BADPKT
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j BADPKT
iptables -A INPUT -p tcp --tcp-flags ALL FIN -j BADPKT
iptables -A FORWARD -m state --state INVALID -j BADPKT
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j BADPKT
iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j BADPKT
iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j BADPKT
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j BADPKT
iptables -A FORWARD -p tcp --tcp-flags FIN,RST FIN,RST -j BADPKT
iptables -A FORWARD -p tcp --tcp-flags ACK,FIN FIN -j BADPKT
iptables -A FORWARD -p tcp --tcp-flags ACK,URG URG -j BADPKT
iptables -A FORWARD -p tcp --tcp-flags ACK,PSH PSH -j BADPKT
iptables -A FORWARD -p tcp --tcp-flags ALL FIN,URG,PSH -j BADPKT
iptables -A FORWARD -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j BADPKT
iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j BADPKT
iptables -A FORWARD -p tcp --tcp-flags ALL FIN -j BADPKT
# 允許已建立連線和回應的封包通過
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
直接 貼到 BrazilFW 2.28 Custom Firewall Rules 裡面,
也就是 /etc/coyote/firewall.local
請問這樣有效用嗎?謝謝!
書籤