a MODKT változót és a modprobe-t is felejtsd el. Automatikus modulbetöltés van, ráadásul ma már nincsen olyan, hogy ip_conntrack, csak olyan, hogy nf_conntrack...
IPTABLES=`which iptables`
ez is rossz
export PATH=/bin:/sbin:usr/bin:/usr/sbin
és akkor az iptables parancsot használhatod a teljes elérési út nélkül. Vagy pedig így: IPTABLES=/sbin/iptables.
## bekapcsoljuk a forráscímhitelesítést.
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
for spoofing in /proc/sys/net/ipv4/conf/default/rp_filter; do
echo "1" > $spoofing
done
echo "Anti-spoofing védelem ..............[ OK ]"
Ez meg csak lelassítja a gépedet. Akkor már adj hozzá néhány iptables parancsot, amelyik elvégzi ugyanezt, többet érsz vele és gyorsabb lesz.
Az iptables -X és --delete-chain opciója ugyanazt teszi, akárcsak a -F és a --flush.
A mangle és a raw táblát nem törlöd (raw nem feltétlenül van), csak a filter és a nat táblákat.
Befelé tiltod az ICMP-t, ezáltal nem kapsz meg egy csomó üzenetet, pl. a port nem érhető el, vagy bármi egyéb lényeges. Szűrd megfelelően, de ne dobd el mindet (nem tudom fejből, miket érdemes hagyni).
Csak azt logold, ami fontos, különben iszonyatosan megnőveled a syslog méretét (amibe logolod), és semmit nem fogsz látni a sok sortól.