BB <___big.beam@msa.hinet.net> wrote in message
news:3A1DF815.7B174AD3@msa.hinet.net...
> # ------------- 防止 IP 詐騙 -------------
>   echo "Turning on anti-spoofing..."
>    ipchains -A input  -i $EXT_IF -s $EXT_IP -d $ALL -j DENY
>    ipchains -A input  -i $EXT_IF -s $DMZ_NET -d $ALL -j DENY
>    ipchains -A output -i $EXT_IF -s $DMZ_NET -d $ALL -j DENY
>    ipchains -A input  -i $EXT_IF -s $INT_NET -d $ALL -j DENY
>    ipchains -A output -i $EXT_IF -s $INT_NET -d $ALL -j DENY
>  # ---------------------------------------------
>
> 請較各位 [防止 IP 詐騙], 是指?????
> 是否有網友可以指教一下?
>

IP 詐騙是指別人通過某些技術﹐把丟出來的封包表頭地址換掉﹐以圖通過火牆的攔
截。

例如﹐如果我在火牆上有這樣的設定﹕

ipchains -A input -s 1.2.3.4 -d 0.0.0.0 -j ACCEPT

這個 1.2.3.4 就是內部 IP﹐您以為這樣只有內部的主機丟出來的封包才能通過火牆了
吧﹖如果我從外面丟一個封包進來﹐正常來說﹐source 地址是 4.3.2.1 ﹐是通不過火
牆的。但如果我在封包寄出來的時候﹐把 source 地址改成 1.2.3.4 呢﹖這樣就可以
通過了﹗

所以﹐上面的句子主要是作用於外部界面上﹐把這樣的欺騙性地址給攔下來﹐因為﹐
既然是從外部界面的 input﹐來源封包不可能是 EXT_IF、 DMZ_NET、或 INT_NET 的﹐
如果有的話﹐那肯定是一個詐騙﹗所以應該擋掉。


--