linux – ipTables：如何改进当前的设置？_系统运维

概述花了很多时间挖掘才能让我的ipTables运行得相当好. 当前状态：“工作”在SSH连接上具有明显的,可重现的(几乎不可接受的)延迟.一旦禁用ipTables,此延迟就会消失.请帮助,我如何能够抵御长长的潜在攻击列表,还能让我的快速恢复？ -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT#DROP fragments (from a *dif 花了很多时间挖掘才能让我的iptables运行得相当好.

当前状态：“工作”在SSH连接上具有明显的,可重现的(几乎不可接受的)延迟.一旦禁用iptables,此延迟就会消失.请帮助,我如何能够抵御长长的潜在攻击列表,还能让我的快速恢复？

-A input -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT#DROP fragments (from a *different* tutorial,do I need this?)-A input -f -j DROP #DROP NEW NOT SYN-A input -p tcp ! --syn -m state --state NEW -j DROP #DROP SYN-FIN SCANS     -A input -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP #DROP SYN-RST SCANS      -A input -p tcp --tcp-flags SYN,RST SYN,RST -j DROP#DROP X-MAS SCANS       -A input -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP #DROP NMAP FIN SCAN      -A input -p tcp --tcp-flags ALL FIN -j DROP #DROP NulL SCANS              -A input -p tcp --tcp-flags ALL NONE -j DROP  #DROP ALL/ALL SCANS            -A input -p tcp --tcp-flags ALL ALL -j DROP               -A input -m state --state RELATED,ESTABliSHED -j ACCEPT#non-standard ssh port matches ssh config-A input -p tcp -m tcp --dport x1x0 -j ACCEPT  -A input -p tcp -m tcp --dport 80 -j ACCEPT -A input -p tcp -m tcp --dport 443 -j ACCEPT -A input -j DROP

谢谢

编辑：
我深入挖掘,我的ISP的名称服务器和DNS查找可能是问题：

当我以root@xxx.xx.xxx.x连接时,为什么SSH服务器会进行DNS查找？

和/或

我可以解决此问题(如果DNS查找是原因)w /调整ssh配置,而不是弄乱必须找出ISP的名称服务器的IP？

解决方法如果在登录时导致挂起,则可能与sshd UsednS配置参数有关.默认值为yes,因此sshd会对客户端的主机名进行查找,然后检查它是否映射回入站连接上看到的IP地址.

您可能会发现您的客户端没有合适的DNS PTR记录.

尝试设置

UsednS没有

在/ etc / ssh / sshd_config文件中然后重新启动sshd.

总结

以上是内存溢出为你收集整理的linux – ipTables：如何改进当前的设置？全部内容，希望文章能够帮你解决linux – ipTables：如何改进当前的设置？所遇到的程序开发问题。