|
发表于 2010-1-18 14:07:24
|
显示全部楼层
清理垃圾包 这个说法欠妥!
假定 $LAN代表局域网接口,$LANIP代表内网网段,$WANIP为外网IP:
iptables -I FORWARD -m conntrack --ctstate INVALID -j DROP
将连接状态为INVALID的数据包丢弃
iptables -t mangle -A PREROUTING -i $LAN ! -s $LANIP -j DROP
将来自LAN口的数据包,但源地址不是LAN网段的数据包丢弃
iptables -t nat -A PREROUTING -p tcp -i $LAN -d $WANIP -j DROP
将从LAN口进入,目的IP为WAN口IP的数据包丢弃
iptables -t mangle -A PREROUTING -p icmp --icmp-type redirect -j DROP
将所有的ICMP REDIRECT包丢弃,即不允许重定向
iptables -t mangle -A FORWARD -s $LANIP -d $LANIP -j DROP
将源地址为内网网段,目的地址也为内网网段的数据包丢弃
mangle表的主要功能不是过滤,过滤最好在filter表里进行。 |
|