用ROS所想
刚用了一星期ROS,看了好多防火墙,思前想后,觉得最不懂的就是FORWARD链。好多防火墙都写的是INPUT,看了后自己觉得那些是不是写得太重复了,个人觉得只要DROP掉就好了
chain=input in-interface=wan action=drop
chain=input in-interface=lan src-address=192.168.0.88 action=accept
chain=input in-interface=lan action=drop
上面写的意思就是,除了88这个IP可以连接ROS的LAN,对于其它IP,都不能连接WAN和LAN
这样是不是不用再写所谓的防PING和防PING包大小,一样能达到防PING;也不用写防SYN连接ROS的数量呢?上面已经是不能连接ROS,就更不用写防连接ROS的数量了。
或者简写成chain=input in-interface=lan src-address=192.168.0.88 action=accept
chain=input action=drop
然后来两条chain=forward connection-state=invalid action=drop
chain=output connection-state=invalid action=drop
我的防火墙就这些。
这里我觉得ROWARD写得太少,但也不知道要写什么
望高手看看,给说说,才刚学用ROS2.927。错误之处勿笑!
另外问个问题,用脚本做了对内网每IP限TCP连接数,结果一放上去,CPU动不动就达到50%-95%,为什么? 呵呵 呵呵 某些环境是不能全drop 不懂,楼上的比如说一下吧,我才刚开始用
就是这样的防火墙,好象没什么不正常,就是限制TCP连接数后,CPU占用好高
不限制TCP连接,CPU占用才10以下 人家的防火墙只是给你看看的,不是让你一定要用他的 限线程的脚本慎用,工作站台数一多,路由CPU占用率真100%;
公司机器台数少,还是用得蛮好的. 谢谢楼上的
昨天有台机已经关机了,但CONN里面还有300条这台机IP用不同的端口连接INTEL网上某IP的同一端口,类似下面这样
11 tcp192.168.0.108:3070 121.10.114.10:80 established 2h27m51s
12 tcp192.168.0.108:3399 121.10.114.10:80 established 2h51m39s
13 tcp192.168.0.108:3548 121.10.114.10:80 established 3h2m32s
几百条去连接,一般会是什么情况?为什么机子都关掉了,established也不消失? / ip firewall connection tracking
set enabled=yes tcp-syn-sent-timeout=5s tcp-syn-received-timeout=5s \
tcp-established-timeout=2h tcp-fin-wait-timeout=10s \
tcp-close-wait-timeout=10s tcp-last-ack-timeout=10s \
tcp-time-wait-timeout=10s tcp-close-timeout=10s udp-timeout=10s \
udp-stream-timeout=2m icmp-timeout=10s generic-timeout=5m tcp-syncookie=no
注意那个2H tcp已连接超时
页:
[1]