iptables -N NEW_TCP_PACKETS_NO_SYN
iptables -A INPUT NEW_TCP_PACKETS_NO_SYN -p tcp! --syn -m state --state NEW -m limit --limit 10 / day -j LOG --log-prefix «Новые пакеты, но не синхронизированы:»
iptables -A INPUT NEW_TCP_PACKETS_NO_SYN -p tcp! --syn -m состояние --state NEW -j DROP
iptables -A INPUT NEW_TCP_PACKETS_NO_SYN -f -j DROP
1) Я создаю новую цепочку, созданную пользователем, с параметром -N
2) Я регистрирую НОВЫЕ пакеты, которые не синхронизируются, и добавляю ограничение, пытаясь предотвратить переполнение моих файлов журнала.
3) Я отбрасываю НОВЫЕ пакеты, которые не являются SYN
4) Я использую -f, потому что у меня остались фрагментированные пакеты, и я хочу отбросить эти пакеты.
Здесь была найдена рекомендация улучшить что-то подобное https://serverfault.com/a/245713/114606 , то есть добавить его в -t raw -A PREROUTING
А) Я не совсем понимаю, о чем идет речь, как мне добавить "в"?
И это кажется рискованным делом, потому что это устанавливает отметку на пакетах, что они не должны обрабатываться системой отслеживания соединений.
Б) А зачем это нужно? Я отбрасываю эти пакеты, так в чем именно преимущество маркировки этих пакетов?
Все, что было сказано, можно ли что-нибудь сделать, когда я получаю исходный фрагмент SYN, но не получаю последний?