#Port-scanner protection
iptables -A pfc -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 2/s --limit-burst 4 -j RETURN
iptables -A pfc -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j DROP
我无法理解 tcp flag 选项的作用。Manuel 说第一个列表是掩码,第二个是必须设置标志。它是否检查包括 RST 在内的数据包?
我知道-m 限制的含义,但是 tcp-flags 如何防止端口扫描?