iptables 的 --syn 参数用于检测新链接

iptables 命令中的 --syn 参数用于匹配 TCP 数据包的 SYN 标志位。SYN 是 TCP 协议中的一个标志，用于初始化连接的建立过程。在 TCP 三次握手的第一步中，客户端发送一个带有 SYN 标志的数据包来请求建立连接。

使用 --syn 参数的含义

• --syn 参数：
  • 这个参数用于在 iptables 规则中匹配 TCP 数据包中的 SYN 标志位。
  • 通常用于识别新的 TCP 连接尝试，因为新连接的请求会设置 SYN 标志。

常见用途

1. 匹配新的 TCP 连接请求：

   • 你可以使用 --syn 参数来编写规则，允许或拒绝新的 TCP 连接。例如，限制或允许来自特定 IP 地址的新连接请求。

2. 防止 SYN 洪水攻击：

   • 在防火墙规则中，可以使用 --syn 参数来检测和限制大量的 SYN 数据包，从而防止 SYN 洪水攻击（SYN Flood），这是一种常见的拒绝服务（DoS）攻击。

示例

以下是一些使用 --syn 参数的 iptables 规则示例：

• 允许所有新的 TCP 连接：

  sudo iptables -A INPUT -p tcp --syn -j ACCEPT
  

  这个规则会允许所有带有 SYN 标志的数据包通过，即允许所有新的 TCP 连接尝试。

• 限制每秒允许的新的 TCP 连接数：

  sudo iptables -A INPUT -p tcp --syn -m limit --limit 10/s -j ACCEPT
  sudo iptables -A INPUT -p tcp --syn -j DROP
  

  这个规则会限制每秒允许的新的 TCP 连接请求数为 10 个，超过这个限制的连接请求将被丢弃。这有助于防止 SYN 洪水攻击。

• 阻止特定 IP 的新 TCP 连接请求：

  sudo iptables -A INPUT -p tcp -s 192.168.1.100 --syn -j DROP
  

  这个规则会丢弃来自 IP 地址 192.168.1.100 的所有新的 TCP 连接请求。

详细解释

• SYN 标志位：

  • 在 TCP 协议中，SYN 是用于建立连接的标志位。在 TCP 三次握手中，客户端发起的第一个数据包会设置 SYN 标志，表示请求建立连接。
  • 服务器回应一个带有 SYN 和 ACK 标志的数据包，表示接受连接请求。
  • 客户端再次发送一个带有 ACK 标志的数据包，连接建立完成。

• -p tcp 选项：

  • -p tcp 指定匹配 TCP 协议的数据包。--syn 选项仅在 TCP 协议下有效。

• -m limit 模块：

  • -m limit 是用于限制匹配的速率。通过 --limit 可以指定每秒允许的数据包数量。

总结

--syn 参数用于匹配 TCP 数据包中的 SYN 标志位，通常用于处理新的 TCP 连接请求。它可以帮助在 iptables 中创建防火墙规则，控制和保护网络连接，并用于防止网络攻击或限制流量。