網路安全選項的調整 
/proc/sys 網路安全選項的調整 
· 讓系統對 ping 沒有反應 
· 讓系統對廣播沒有反應 
· 取消 IP source routing 
· 開啟 TCP SYN Cookie 保護 
· 取消 ICMP 接受 Redirect 
· 開啟錯誤訊息保護 
· 開啟 IP 欺騙保護 
· 記錄Spoofed Packets, Source Routed Packets, Redirect Packets 
Redhat 6.1 的做法: 
[root@deep /]# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 
[root@deep /]# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 
[root@deep /]# for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do 
> echo 0 > $f 
> done 
[root@deep /]# echo 1 > /proc/sys/net/ipv4/tcp_syncookies 
[root@deep /]# for f in /proc/sys/net/ipv4/conf/*/accept_redirects; do 
> echo 0 > $f 
> done 
[root@deep /]# echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses 
[root@deep /]# for f in /proc/sys/net/ipv4/conf/*/rp_filter; do 
> echo 0 > $f 
> done 
[root@deep /]# for f in /proc/sys/net/ipv4/conf/*/log_martians; do 
> echo 0 > $f 
> done 

Redhat 6.2 的做法: 
編輯 "/etc/sysctl.conf" 檔案，並加入下面幾行， 
# Enable ignoring ping request 
net.ipv4.icmp_echo_ignore_all = 1 
# Enable ignoring broadcasts request 
net.ipv4.icmp_echo_ignore_broadcasts = 1 
# Disables IP source routing 
net.ipv4.conf.all.accept_source_route = 0 
# Enable TCP SYN Cookie Protection 
net.ipv4.tcp_syncookies = 1 
# Disable ICMP Redirect Acceptance 
net.ipv4.conf.all.accept_redirects = 0 
# Enable bad error message Protection 
net.ipv4.icmp_ignore_bogus_error_responses = 1 
# Enable IP spoofing protection, turn on Source Address Verification 
net.ipv4.conf.all.rp_filter = 1 
# Log Spoofed Packets, Source Routed Packets, Redirect Packets 
net.ipv4.conf.all.log_martians = 1 
最後重新啟動 network 
[root@deep /]# /etc/rc.d/init.d/network restart 

~~請多多回應~~~




 
 09-07-2001 13:46          
 
 
  
 art 跨區板主



註冊日期: Oct 2000
所在地: 台南
發表文章數: 2104
個人魅力值: 40433 
 讚啦!很棒的資料 

多做防備,才是最佳的防駭方法 
大家快去補洞吧! 

感謝 vincent119 兄 再度分享


__________________
不要問Linux能做什麼，只要問你要Linux做什麼 
不學Linux就落伍啦!!快到Linux討論區吧



 
 09-07-2001 17:40          
 
 
  
 fangback 初級會員



註冊日期: Feb 2001
所在地: 台南市
發表文章數: 87
個人魅力值: 436 
 有無設定可讓外部ping不到linux的ip但可讓內部的ping出去呢?




 
 09-08-2001 16:04          
 
 
  
 vincent119 新進會員



註冊日期: Aug 2001
所在地: 台北
發表文章數: 39
個人魅力值: 4720 
 Redhat 6.1 的做法 
root@deep /]# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 


Redhat 6.2 的做法 
# Enable ignoring ping request 
net.ipv4.icmp_echo_ignore_all = 1 



並開啟 
ipchains -A forward -d x.x.x.x -j MASQ




 
 09-10-2001 08:42          
 
 
  
 fangback 初級會員



註冊日期: Feb 2001
所在地: 台南市
發表文章數: 87
個人魅力值: 436 
 再請教一下，以上的設定是作什麼用的? 

# Enable TCP SYN Cookie Protection 
net.ipv4.tcp_syncookies = 1 
# Disable ICMP Redirect Acceptance 
net.ipv4.conf.all.accept_redirects = 0




 
 09-10-2001 08:59          
 
 
  
 donytung 新進會員



註冊日期: May 2001
所在地: 
發表文章數: 5
個人魅力值: 295 
  請問有沒有red hat 7.1的設定 
請問有沒有red hat 7.1的設定




 
 09-13-2001 18:58          
 
 
  
 vincent119 新進會員



註冊日期: Aug 2001
所在地: 台北
發表文章數: 39
個人魅力值: 4720 
 7.1 跟 6.2 一樣




 
 09-14-2001 08:45          
 
 
  
 naglfar 新進會員



註冊日期: Jun 2001
所在地: 
發表文章數: 2
個人魅力值: 4 
 
quote:
--------------------------------------------------------------------------------
原始作者是 vincent119 
7.1 跟 6.2 一樣 
--------------------------------------------------------------------------------




請問 mandrake 8.0 也是一樣嗎?




 
 09-16-2001 17:02          
 
 
  
 a-chang 新進會員



註冊日期: Jun 2001
所在地: 雲林
發表文章數: 4
個人魅力值: 8 
  都一樣啦.. 

quote:
--------------------------------------------------------------------------------
原始作者是 naglfar 



請問 mandrake 8.0 也是一樣嗎? 
--------------------------------------------------------------------------------



我也是用Mandrake 8.0，其實: 
#echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all這一行跟下列的設法是一樣的，參考看看囉： 
#ipchians -A input -p icmp -s 0.0.0.0/0 -d hostIP/netmask -j DENY


__________________
凡經我手,必將美好



 
 09-19-2001 18:47           
 
 
  
 laryp3 新進會員



註冊日期: Sep 2001
所在地: 
發表文章數: 21
個人魅力值: 934 
  
我現在在"/etc/sysctl.conf" 檔案中加入 
# Enable ignoring ping request 
net.ipv4.icmp_echo_ignore_all = 1 
使得系統對 ping 沒有反應 

那我要如何直接下 ipchains 指令的方式 
來達到如上的功能----->系統對 ping 沒有反應




 
 09-21-2001 15:12          
 
 
  
 sungyit 初級會員



註冊日期: Oct 2000
所在地: 高雄
發表文章數: 187
個人魅力值: 5912 
  
ipchains -A input -p icmp -j DENY 
應該是這樣！ 
   


__________________
請多指教！! 




 
 09-27-2001 16:23          
 
 
  
 laryp3 新進會員



註冊日期: Sep 2001
所在地: 
發表文章數: 21
個人魅力值: 934 
 謝啦...




 
 09-27-2001 16:53          
 
 
  
 Tirpitz 普通會員



註冊日期: Jul 2001
所在地: 
發表文章數: 63
個人魅力值: 3102 
 如果7.1和6.2一樣 
那7.0也是一樣囉??




 
 10-08-2001 01:37          
 
 
  
 vincent119 新進會員



註冊日期: Aug 2001
所在地: 台北
發表文章數: 39
個人魅力值: 4720 
 yes




 
 10-08-2001 08:51          
 
 
  
 nono 普通會員



註冊日期: Mar 2001
所在地: 花蓮
發表文章數: 54
個人魅力值: 2518 
 好.....好文章 

很有幫助ㄋㄟ 

謝謝你


__________________




 
 11-27-2001 17:04           
 
 
  
 chienhsiang 普通會員



註冊日期: Sep 2001
所在地: 
發表文章數: 70
個人魅力值: 3695 
 我參照了上述的規則打上後發現跟我以前用setve的電腦世界所寫的分享網路 
比較…我發現為什麼在開網頁的時候變慢了…為什麼呢？謝謝




 
 12-09-2001 14:05          
 
 
  
 redhat 普通會員



註冊日期: May 2002
所在地: b
發表文章數: 71
個人魅力值: 3994 
 
quote:
--------------------------------------------------------------------------------
原始作者是 Tirpitz 
如果7.1和6.2一樣 
那7.0也是一樣囉?? 
--------------------------------------------------------------------------------



7.3 呢好像不一樣是不是 ?


__________________
king