10、构建 Linux 防火墙与无线接入点的综合指南

构建 Linux 防火墙与无线接入点的综合指南

1. 单主机防火墙设置

在网络安全中，单主机防火墙的设置至关重要。以下几个内核参数的调整能增强主机安全性：
-net.ipv4.conf.all.send_redirects = 0：只有路由器才需要此功能，其他设备可将其关闭。
-net.ipv4.conf.all.accept_redirects = 0：ICMP 重定向对路由器很重要，但会给服务器和工作站带来安全问题，所以关闭它。
-net.ipv4.conf.all.accept_source_route = 0：源路由数据包存在安全风险，因为它很容易伪造可信地址，其合法用途很少，且恶意用途远超过合法用途。

常见的做法是在 iptables 脚本中设置内核参数，例如：

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

不过，也可以使用sysctl来控制这些选项，这是它设计的用途，而且它独立于防火墙运行。使用命令行的echo命令会覆盖配置文件，适合用于测试，重启后这些设置会消失，方便重新开始。另