> $CURRENT_IP
> 0.0.0.0/8
> 10.0.0.0/8
> 127.0.0.0/8
> 169.254.0.0/16
> 172.16.0.0/12
> 192.0.0.0/24
> 192.0.2.0/24
> 192.88.99.0/24
> 192.168.0.0/16
> 198.18.0.0/15
> 198.51.100.0/24
> 203.0.113.0/24
> 224.0.0.0/4
> 240.0.0.0/4
> 255.255.255.255
一些示例表明,如果它是流量的来源,您只需要担心检查此流量.示例:
$IPT -A ANTISPOOF -s 0.0.0.0/8 -m limit --limit 5/min --limit-burst 5 -j LOG --log-prefix "Denied Spoofed Source IP Address: " $IPT -A ANTISPOOF -s 0.0.0.0/8 -j DROP
在其他示例中,在他们检查输入和输出的源和目的地时采取更积极的姿态.例子包括:
iptables -A INPUT -d 172.0.0.0/8 -j DROP iptables -A INPUT -s 172.0.0.0/8 -j DROP iptables -A OUTPUT -d 172.0.0.0/8 -j DROP iptables -A OUTPUT -s 172.0.0.0/8 -j DROP
我仍然提出以下问题:
>我是否需要在项目符号列表中检查上面列出的IP范围的源地址?
>我是否需要在项目符号列表中检查上面列出的IP范围的目标地址?
>为上面列出的包含INPUT和OUTPUT链的IP范围创建规则很重要吗?
>上面的项目符号列表中是否遗漏了我忘记检查的IP范围?
在此先感谢您的帮助.
解决方法
但是,这些范围中的3个是RFC1918专用网络:http://en.wikipedia.org/wiki/Private_networks – 来自这些范围的数据包仍然可以归类为Bogons,但前提是它们不合法. (即使玫瑰是杂草,如果它在停车场中间生长……)
如果这是您正在使用的路由器,请考虑以下事项:
> INPUT和OUTPUT链处理发往/来自(分别)防火墙本身某些本地进程的流量.大多数路由流量都不会触及这些链.
> FORWARD链处理通过机器路由到其他目的地的流量.
>通常,您需要阻止来自这些源网络的入站流量和到达这些目标网络的出站流量.看一下iptables的-i标志,它允许你限制匹配给定的网络适配器.
>尽管如此,我是第二个看门狗,因为这样可能不需要捕获这样的出站流量.如果它是您的服务器,您应该控制它发送的内容.
>请记住,您的内部LAN可能使用其中一个私有地址范围.您可能仍希望允许该流量通过.
