free
/
freedombone
关注 1
点赞 0
派生 0
代码 工单 0 合并请求 0 版本发布 0 百科 动态
浏览代码

Drop invalid packets

Bob Mottram 8 年前
父节点
1c110b6f94
当前提交
3652cc5c87
共有 1 个文件被更改,包括 7 次插入0 次删除
分列视图 显示文件统计
  1. 7
    0
      src/freedombone-utils-firewall

+ 7
- 0
src/freedombone-utils-firewall 查看文件 

@@ -136,8 +136,15 @@ function configure_firewall {
136 136 
     iptables -A INPUT -i lo -j ACCEPT
137 137 
     iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
138 138
139 
+    # Drop invalid packets
140 
+    iptables -t mangle -A PREROUTING -m conntrack --ctstate INVALID -j DROP
141 
+
139 142 
     # Make sure incoming tcp connections are SYN packets
140 143 
     iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
144 
+    iptables -t mangle -A PREROUTING -p tcp ! --syn -m conntrack --ctstate NEW -j DROP
145 
+
146 
+    # Drop SYN packets with suspicious MSS value
147 
+    iptables -t mangle -A PREROUTING -p tcp -m conntrack --ctstate NEW -m tcpmss ! --mss 536:65535 -j DROP
141 148
142 149 
     # Drop packets with incoming fragments
143 150 
     iptables -A INPUT -f -j DROP