Linux网络安全技术与实现(性能)

1 防火墙自上而下的规则写法，减少规则匹配

image.png

iptables -L -n -v
2 多使用multiport iprange

image.png
image.png
3 nf_conntrack_max
image.png

nf_conntrack 连接跟踪表

image.png
4 不让nf_conntrack跟踪
iptables -t raw -A PREROUTING -i eth2 -o eth1 -p tcp --dport 25 -j NOTRACK
iptables -t raw -A PREROUTING -i eth1 -o eth2 -p tcp --dport 25 -j NOTRACK
image.png
5 nf_conntrack_ftp协议处理ftp
image.png
image.png
6 DNAT
image.png

7 用recent模块抵御端口扫描

image.png
8 string和recent来拒绝密码破解
image.png
10分钟内尝试4次连接就错误
image.png
三次握手：syn_sent syn_recent established
防御syn攻击
net.ipv4.tcp_synack_retries 3
net.ipv4.tcp_max_syn_backlog 2048
net.ipv4.tcp_syncookies 1
限制1分钟内连接请求数
image.png