标签:inpu out 三次 tcp三次握手 flag 启用 syn 详解 协议
阻断TCP请求的报文需要知道TCP三次握手的标记位的值
6个标记位:SYN,ACK,FIN,RST,URG,PSH
客户端发送连接请求时,SYN=1,其余为0
服务端同意连接请求时,SYN=1,ACK=1,其余为0
阻止报文发送和接收,启用tcp模块的tcp-flags选项:
iptables -I INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT
iptables -I OUTPUT -p tcp -m tcp --sport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN,ACK -j REJECT
ALL=SYN,ACK,FIN,RST,URG,PSH
也可以写成如下规则:
iptables -I INPUT -p tcp -m tcp --dport 22 --tcp-flags ALL SYN -j REJECT
iptables -I OUTPUT -p tcp -m tcp --sport 22 --tcp-flags ALL SYN,ACK -j REJECT
-p udp -m udp --dport 137
-p udp -m udp --sport 138
非连续多端口
-m mulitport 345,579
标签:inpu out 三次 tcp三次握手 flag 启用 syn 详解 协议
原文地址:https://blog.51cto.com/13434656/2525645
