Сценарий: маршрутизатор используется для подключения внутренних клиентов к Интернету. Маршрутизатор не предоставляет открытые сервисы для Интернета.
Допустим, у вас есть правила iptables, подобные приведенным ниже, и никаких других.
iptables -P INPUT DROP
iptables -I INPUT -i <wan_face> -m state --NEW -j DROP
Ниже приведен пример правила защиты от DDoS-атак.
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
Являются ли правила защиты от DDoS ненужными, если соединения НОВОГО состояния отброшены на цепочки INPUT и FORWARD через wan_face?
Зачем вообще указывать какие-либо дополнительные правила, если вы установили политику по умолчанию на DROP?
iptables -P INPUT DROP
Этой политике обычно придерживаются только некоторые исключения к политике DROP по умолчанию, то есть входящему трафику, который вы хотите разрешить в ...
Если у вас нет исключений, зачем вообще беспокоиться о дальнейшей проверке вашего трафика.
Единственное, что делают ваши так называемые правила защиты от DDOS, - это дополнительная обработка (потенциально даже повышающая эффективность DDOS-атаки).
Теперь ваша логика выглядит так:
if (something) then
DROP
else if (something_else) then
DROP
else if (something_else) then
DROP
else if (something_else) then
DROP
fi
# For everything that wasn't caught by the previous rules:
DROP any way
что немного глупо, правда?