问个问题 IPTABLES到底有什么亮点

joess

其实windows　也有自己的内核防火墙机制(不是ＸＰ和２００３上的那个），只是会用到的人不多，主要是没有很好的配置界面，功能还可以，就是处理流量的能力只有 45m/s 和　iptables　比各有千秋，至于ip2 的话可能梢强点。

網中人

我曾聽說有人將 iptables 的功能做近 asic 芯片去.
最大的好處就是--- wire speed!

joess

原帖由 "網中人" 发表：
我曾聽說有人將 iptables 的功能做近 asic 芯片去.
最大的好處就是--- wire speed!

成硬件防火墙了！呵呵

skylove

[quote]原帖由 "joess"]其实windows　也有自己的内核防火墙机制(不是ＸＰ和２００３上的那个），只是会用到的人不多，主要是没有很好的配置界面，功能还可以，就是处理流量的能力只有 45m/s 和　iptables　比各有千秋，至于ip2 的话可能梢?.........[/quote 发表：


你说的是ip安全策略吧... 那么,麻烦给我配置一个只能通过http的服务策略出来,要求如下:
http服务，端口任意,均可以访问;
其他服务,即使使用80口，依然不准访问

您用ip安全策略实现看看??
以上要求我用iptables加个模块就可以做到

網中人

原帖由 "joess" 发表：

成硬件防火墙了！呵呵

這還不止哦, 聽說他的 asic 可嵌入網卡(NIC)去!
也就是, 每一台主機本身就是一個硬件式防火牆. 夠猛吧?  ^_^

wsgtrsys

原帖由 "網中人" 发表：

這還不止哦, 聽說他的 asic 可嵌入網卡(NIC)去!
也就是, 每一台主機本身就是一個硬件式防火牆. 夠猛吧?  ^_^

哪里有介绍的文章？

andyliu

原帖由 "網中人" 发表：

這還不止哦, 聽說他的 asic 可嵌入網卡(NIC)去!
也就是, 每一台主機本身就是一個硬件式防火牆. 夠猛吧?  ^_^

那是不是还要对网卡进行配置?

aaaaaa

也许你可以看看
*  net-analyzer/snortsam
      Latest version available: 2.30
      Latest version installed: [ Not Installed ]
      Size of downloaded files: 985 kB
      Homepage:    http://www.snortsam.net/
      Description: Snort plugin that allows automated blocking of IP addresses on several firewalls
      License:     as-is
iptables + snort + snortsam 应该比较容易实现这个。

原帖由 "speed_fj" 发表：
天网是比较不上台面的 我随便说说 只是iptables有什么别人做不到 或者做不好的特点马

譬如有个弄能 我只能做脚本定期查日志实现  iptables有选项可以直接做到马 我资料没有查到

就是我可以定义在N分钟内跟我通..........

wsgtrsys

. Maintaining a List of recent Connections to Match Against
By using the recent extension one can dynamically create a list of IP addresses that match a rule and then match against these IPs in different ways later. One possible use would be to create a "temporary" bad-guy list by detecting possible port scans and to then DROP all other connections from the same source for a given period of time
Port 139 is one of the most dangerous ports for Microsoft Windows& users as it is through this port that the Windows file and print sharing service runs. This also makes this port one of the first scanned by many port scanners or potential hackers and a target for many of the worms around today. We can use the recent matching extension to temporarily block any IP from connecting with our machine that scans this port as follows:

iptables -A FORWARD -m recent --name portscan --rcheck --seconds 300 -j DROP
iptables -A FORWARD -p tcp -i eth0 --dport 139 -m recent --name portscan --set -j DROP

JohnBull

[quote]原帖由 "speed_fj"]请问iptables如何随机化TCP序列号[/quote 发表：


这叫什么馊主意？这将引起并发数和吞吐量的急剧下降，不可取。

这种事情由端系统处理比较好。