iptablesを使用したDDOS防御

Question

次の iptables ルールを使用します。

iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A INPUT -j REJECT

最初のルールは、接続追跡モジュールによって割り当てられたステータスを確認して、要求された着信トラフィックを受け入れます。ステータスが次の場合、パケットは許可されます。

ESTABLISHED（ファイアウォールが以前に許可することを決定した既存の接続の一部を構成するパケット）またはRELATED（新しい接続を開始するが既存の接続に関連することが知られているパケット）。

ICMP（2番目の規則）は、すべてのホストがサポートする必要があるインターネットプロトコルの不可欠な部分であるため、ここでは特別なケースです。 ICMP をブロックするとセキュリティ上のメリットがありますが、ほとんどの場合、潜在的な攻撃者よりも正当なユーザーや管理者に大きな不便を招く可能性があります。したがって、ここで説明されている方法は、トラフィックが望ましくない場合でもインバウンドICMPトラフィックを許可します。

3 番目のルールは、ループバックインターフェイスのすべてのトラフィックを許可します。ループバックインターフェイスを介して受信されたすべてのトラフィックはローカルシステムで開始する必要があるため、（とにかく）ローカルシステムから要求する必要があります。

Answer 1

次の iptables ルールを使用します。

iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A INPUT -j REJECT

最初のルールは、接続追跡モジュールによって割り当てられたステータスを確認して、要求された着信トラフィックを受け入れます。ステータスが次の場合、パケットは許可されます。

ESTABLISHED（ファイアウォールが以前に許可することを決定した既存の接続の一部を構成するパケット）またはRELATED（新しい接続を開始するが既存の接続に関連することが知られているパケット）。

ICMP（2番目の規則）は、すべてのホストがサポートする必要があるインターネットプロトコルの不可欠な部分であるため、ここでは特別なケースです。 ICMP をブロックするとセキュリティ上のメリットがありますが、ほとんどの場合、潜在的な攻撃者よりも正当なユーザーや管理者に大きな不便を招く可能性があります。したがって、ここで説明されている方法は、トラフィックが望ましくない場合でもインバウンドICMPトラフィックを許可します。

3 番目のルールは、ループバックインターフェイスのすべてのトラフィックを許可します。ループバックインターフェイスを介して受信されたすべてのトラフィックはローカルシステムで開始する必要があるため、（とにかく）ローカルシステムから要求する必要があります。

iptablesを使用したDDOS防御

ベストアンサー1

おすすめ記事