全文转载自我的小伙伴的博客(https://idream.moe/archives/394),去除了几条并不能执行他也解释不清楚的废命令。有没有用不清楚,因为有一段时间我的几个飞机场域名都活不过一个月,而他的一直活蹦乱跳。

首先,我一直坚信,你自己解释不清楚的所谓优化一定是玄学,有可能有效,有可能无效。

再就是,我感觉可能这些可能有效的原因就是我一直用sibylcloud这个系列的前缀在做站,然后域名被污染的速度越来越快,从差不多半年一换,然后3个月一换,然后最近几次都是一个月一换了……难受的一匹。

最新换的allstars.host也没活几天,但是鉴于前段时间又是登基又是开会,环境还蛮恶劣的,这几天一直处于大赦的状态,网络环境完全不同。所以现在的方案就是用一个跳转页再加上一些玄学的iptables规则,然后把前端2台从Leaseweb新加坡搬到了OVH的新加坡,看看这次是什么情况吧。

注:前几天他的域名也凉了,但是他认为是上次没加这些iptables规则,并坚信他写的这些东西有用(话说,这几天怕不是在大赦天下他的域名还能凉咯

屏蔽高德和百度
  • Bash
1
2
3
4
5
6
7
8
9
10
iptables -I FORWARD -d api.map.baidu.com -j DROP
iptables -I FORWARD -d ps.map.baidu.com -j DROP
iptables -I FORWARD -d sv.map.baidu.com -j DROP
iptables -I FORWARD -d offnavi.map.baidu.com -j DROP
iptables -I FORWARD -d newvector.map.baidu.com -j DROP
iptables -I FORWARD -d ulog.imap.baidu.com -j DROP
iptables -I FORWARD -d newloc.map.n.shifen.com -j DROP
iptables -I FORWARD -d sync.amap.com -j DROP
iptables -I FORWARD -d nbsdk-baichuan.alicdn.com -j DROP
iptables -I FORWARD -d m5.amap.com -j DROP
屏蔽namp
  • Bash
1
2
3
4
5
6
7
8
9
10
iptables -I FORWARD -d api.map.baidu.com -j DROP
iptables -I FORWARD -d ps.map.baidu.com -j DROP
iptables -I FORWARD -d sv.map.baidu.com -j DROP
iptables -I FORWARD -d offnavi.map.baidu.com -j DROP
iptables -I FORWARD -d newvector.map.baidu.com -j DROP
iptables -I FORWARD -d ulog.imap.baidu.com -j DROP
iptables -I FORWARD -d newloc.map.n.shifen.com -j DROP
iptables -I FORWARD -d sync.amap.com -j DROP
iptables -I FORWARD -d nbsdk-baichuan.alicdn.com -j DROP
iptables -I FORWARD -d m5.amap.com -j DROP

提到nmap屏蔽的原理呢,这也很好解释,就是屏蔽含有对应标记的数据包,其次就是这里的80drop的用途呢(如果没有web服务的话把端口改成你的ssh端口)是只屏蔽带有SYN标志的数据包,设个卡卡住nmap(同时含有PSH和SYN的数据包可以到达并回复),它不能确定这个端口到底通不通,所以就不会继续接下来的扫描啦。
最后面则是限制仅含有SYN标志的数据包的通过速度。。

2018/02/21 更新:

写出来的东西遭遇了报错:--tcp-flags requires two args

原因是只定义了参数检查,未设置参数匹配,ROS下使用一组参数就可以了【然后并没解决23333】

增加:

防止Xmas扫描

防止TCP Null扫描

拒绝TCP标记为SYN/ACK但连接状态为NEW的数据包,防止ACK欺骗


版权声明:

知识共享许可协议
本文由EmmCat原创,采用知识共享署名-非商业性使用-禁止演绎 4.0 国际许可协议(CC BY-NC-ND 4.0)进行许可,转载请保留以上声明信息,版权所有,侵权必究!
本文链接:https://emm.cat/2018/04/10/iptables/