构建 Linux 防火墙与无线接入点的综合指南
1. 单主机防火墙设置
在网络安全中,单主机防火墙的设置至关重要。以下几个内核参数的调整能增强主机安全性:
-net.ipv4.conf.all.send_redirects = 0:只有路由器才需要此功能,其他设备可将其关闭。
-net.ipv4.conf.all.accept_redirects = 0:ICMP 重定向对路由器很重要,但会给服务器和工作站带来安全问题,所以关闭它。
-net.ipv4.conf.all.accept_source_route = 0:源路由数据包存在安全风险,因为它很容易伪造可信地址,其合法用途很少,且恶意用途远超过合法用途。
常见的做法是在 iptables 脚本中设置内核参数,例如:
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route不过,也可以使用sysctl来控制这些选项,这是它设计的用途,而且它独立于防火墙运行。使用命令行的echo命令会覆盖配置文件,适合用于测试,重启后这些设置会消失,方便重新开始。另
