拒绝所有的syn连接来防止内网syn攻击,各位大虾指点下

platinum

唉，抓包看看究竟你就明白了，不要妄加猜测
这样测试
1、有服务，无防火墙，去 telnet
2、无服务，无防火墙，去 telnetl
3、有无服务均可，有防火墙，DROP 掉所有 TCP，然后去 telnet

用 ethereal 抓包看看就知道了，现在我说什么也没用

seignior

.........重新实测之后的确是没有服务的话直接rst(意味着没有服务syn就没有什么效果，这个之前实在是遗忘了)，问题是cpu很高。

platinum

一个是直接丢弃，另一个是通过 TCP 协议栈加工后返回 RST，后者当然占用 CPU 要比前者多了

啊信

继续讨论

seignior

没有什么可讨论的啦，实际上估计我和platinum在讨论这个话题的时候，都在不停google和翻书吧(起码我是)，不少相关知识就这样装进了自己脑袋，一些错误的也被更新，写在论坛的反而是少之又少。
一堆讨论下来，大约的结果估计就是如果带宽足够的话，做nat的ros(没有服务，应该也不能转发端口)应该可以全部drop掉所有tcp，如果带宽小的话那就等死吧，哈哈哈哈


在这里，也重新感谢所有纠正我错误的人。