IP 表 - 阻止傳入流量

這個問題在某種程度上與這個和這個有關

我的問題是關於使用 iptables 阻止傳入連接。我在 unix.stackexchange.com 上閱讀了不同的文章，並對 iptables 有了基本的了解。但我不明白一些具體的觀點。任何幫助表示讚賞。

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT                              
iptables -P INPUT DROP

我想用這個程式碼。除了對我發送的請求的響應之外，它必須阻止所有傳入連接（所有埠將對外部人員關閉）。我想這很簡單。

1. 上面顯示的程式碼會阻止傳入的 ICMP ping 請求嗎？如果不是，為什麼？
2. 如果上面顯示的程式碼沒有阻止 ICMP ping 請求，添加iptables -I INPUT -j DROP -p icmp --icmp-type echo-request會阻止它嗎？
3. 從被阻止的 ip 進行埠掃描可以獲取有關我的電腦的資訊嗎？
4. 我應該添加特定的規則-p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP來阻止特定的洪水攻擊還是我的第一個程式碼處理它？

1. 是的。所有不是現有會話發布的入站流量都將被阻止
3. 僅當（a）您已連接到該惡意主機，或（b）它知道您應該在那裡並且您缺乏響應時，它可以推斷您有防火牆
4. 你已經被 #1 覆蓋了

@roaima 的回答很好，但前提是您不開始允許某些事情。

我會推薦：

1. 我會加入一個明確的 DROP 規則。它應該是最後一個。

iptables -A INPUT -j DROP

請注意，也要製定政策。 2. 如果您打算允許某些輸入（如 SSH 或 Web 伺服器），請將您的 #4 放在任何 ALLOW 之前。還可以阻止其他不好的東西，比如碎片。 3. 您的第 2 點是正確的，但僅適用於 IPv4。IPv6 有不同的 ping。和（經典）一組不同的過濾器。 4. 不要忘記過濾 IPv6。

引用自：https://unix.stackexchange.com/questions/621853