2016-04-27 9 views
-1

私が働いているいくつかのプロジェクトでは、このiptablesのルールを見つけました:このiptablesルールは何を意味しますか?

-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP

をこのルールが何を意味するのでしょうか?どのようにしてネットワークをより安全にしていますか?

答えて

1

「新しいTCP接続を初期化し、SYN制御ビットがFIN、SYN、RST、ACKの間で設定されていないすべての着信セグメントを破棄」することができます。 (here参照)。

接続を初期化するために使用されるTCPセグメントには、SYN制御ビットが設定されている必要があります。また、このルールでは、ACKスキャンのようなSYN制御ビットが設定されていないセグメントを含む別のport scan techniquesの使用を避けると思います。潜在的な攻撃者に情報を提供する可能性のあるRSTセグメントを送信する代わりに、このセグメントを静かに破棄します。

+0

ありがとう@Jeff。私はこの質問が狂ったstackoverflowポリシーによって削除される前に、これを言いたいと思っていました。 – codefx

+0

@codefxよろしくお願いします。あなたがセキュリティ上の理由を求めている次回は、私は情報セキュリティコミュニティでこれを行うことがより重要であると思います。 –

関連する問題