Xポートで新しい着信TCP接続をどのようにブロックしますか？

Question

Xポートで新しい着信TCP接続をどのようにブロックしますか？ iptablesで行う必要があります。私は実際に動作するiptablesコマンドを持っていますが、ip_conntrack_maxが非常に高く設定されている場合でも、常にip_conntrack_maxに到達します。追跡せずにそれを行う方法はありますか？

Vatine · Answer

特定のポートへの新しいセッションを確立する試みをブロックしたいが、それでも確立されたセッションへのパケットを許可したい場合は、次のようなことを行う必要があります。

 iptables -A INPUT -j DROP -p tcp --syn --destination-port dport

これにより、ローカルマシンから開始された接続が許可され、ローカルポート番号としてdportが使用されます。

Christian · Answer

これにより、conn_trackを使用せずにトラフィックをブロックする必要があります。

iptables -A INPUT -j DROP -p tcp --destination-port <your port>

接続追跡は、ルールで-m stateまたは--stateを指定した場合にのみその役割を果たします。

Arindam Mukherjee · Answer

SYNパケット以外のすべてを受け入れることができます。それを行う1つの方法は次のとおりです。

iptables -A INPUT -p tcp '!' --syn --destination-port <your-port> -j ACCEPT

Cedric Knight · Answer

--synを削除すると、新しい接続が停止し、追跡するハーフオープン接続がないはずです。一般に、「追跡せずに」フィルタリングは-t raw -I PREROUTINGステージで可能です。