Estamos vendo o problema descrito aqui - link
Em resumo, precisamos descartar pacotes falsos, como com o conjunto de sinalizadores SYN + FIN. Eu posso soltar este pacote particular, adicionando regra -
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
Agora, pode haver muito mais combinação de sinalizadores. Então, devo adicionar todos eles ou há uma maneira melhor de fazer isso?
A melhor hora para descartar pacotes falsos é quando os pacotes ainda não são rastreados, portanto, na tabela "bruta". Ou, para ser realmente preciso: -t raw -A PREROUTING
Confira o seguinte Wiki da comunidade: iptables tips & truques por sinceramente. Uma das "respostas" já contém um conjunto de regras para descartar pacotes falsos.
Eu proponho descartar todos os pacotes INVÁLIDOS se você usar o rastreamento de conexão com:
iptables -A FORWARD -m state --state INVALID -m comment --comment "DROP INVALID" -j DROP
Você também pode ver:
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -m comment --comment "Bad TCP Packet" -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -m comment --comment "Bad TCP Packet" -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -m comment --comment "Bad TCP Packet" -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -m comment --comment "Bad TCP Packet" -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,ACK FIN -m comment --comment "Bad TCP Packet" -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags ACK,URG URG -m comment --comment "Bad TCP Packet" -j DROP