如果有太多要记录的东西
我的防火墙所连接到的网络上还连着DHCP服务器。如果用上面的记录方法的话,每个DHCP包都得记录。由于DHCP传输,网络非常忙碌,因此它会让记录里有很多不必要的信息。因此,在规定记录规则前,我插入了如下规则:
iptables -A INPUT -i $IF_PUB -p udp --sport bootps -j DROP
这句使系统丢弃所有来自DHCP源端口的UDP传输。在记录前加上这条规则,可以将DHCP传输从记录范围内除去。如果还有其他传输干扰你的记录,并且与你要监听的东西毫无关联,那么就在记录规则前添加类似规则。
应用策略之前
我的脚本的下一段反映了我上面所说的哲学问题。如果不再添加规则,那么剩余的数据包就会满足过滤链的策略,因而全部被丢弃。但是我已经打开了路由器上的端口,因此即使放弃剩余数据包,也不会影响整个过程。这也是我允许ping的一部分原因。因此,我也选择做个好的TCP顺民:
iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
余下的任何TCP协议的数据包都将被拒绝,发送方会收到一条TCP重置消息(RST)。这是连接到一个没有listening服务的端口时,TCP协议的正常反应。
这样之后,剩余的所有包都由策略来处理以及丢弃。我还应当添加一条规则来以类似的标准方法处理UDP:返回一个ICMP端口无法到达的消息。
拦截特殊的问题源
你也许会发现你的防火墙或其他记录显示,你的主机正被一些主机以不被允许的方式反复访问。例如,也许有个主机用你的主机不具备的请求来刺探你的网络服务器。邮件过滤可以处理很多来自某个源头的未被请求的传输。可以说,你能用NetFilter将它们都拦截下来。这样做的代价是这些源就无法正常使用你的服务了。我觉得这个代价可以忍受,毕竟这些源是试图攻击我的。