iptables -A FORWARD -p tcp -d $OUR_NET --tcp-flags SYN,RST SYN,RST -m limit --limit 5/minute -j LOG --log-level notice

--log-prefix "SYN/RST: "

iptables -A FORWARD -p tcp -d $OUR_NET --tcp-flags SYN,RST SYN,RST -j DROP

# То же самое, но запрещаем «плохим» пакетам попадание на сервер.

iptables -A INPUT -p tcp -d $SERVER_IP --tcp-flags ALL FIN,URG,PSH -m limit --limit 5/minute -j LOG --log-level notice

--log-prefix "NMAP-XMAS: "

iptables -A INPUT -p tcp -d $SERVER_IP --tcp-flags ALL FIN,URG,PSH -j DROP

iptables -A INPUT -p tcp -d $SERVER_IP --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/minute -j LOG --log-level notice

--log-prefix "SYN/FIN: "

iptables -A INPUT -p tcp -d $SERVER_IP --tcp-flags SYN,FIN SYN,FIN -j DROP

iptables -A INPUT -p tcp -d $SERVER_IP --tcp-flags SYN,RST SYN,RST -m limit --limit 5/minute -j LOG --log-level notice

--log-prefix "SYN/RST: "

iptables -A INPUT -p tcp -d $SERVER_IP --tcp-flags SYN,RST SYN,RST -j DROP

# Вводим правила, ограничивающие число RST/ACK-пакетов и делающие запись в лог-файле, чтобы через пингование хостов

# были трудности с определением ОС, установленной на этих хостах.

#Drop RST/ACKs to limit OS detection through pinging

iptables -A FORWARD -p tcp -d $OUR_NET --tcp-flags RST RST,ACK -m limit --limit 5/minute -j LOG --log-level notice

--log-prefix "SYN/RST: "

iptables -A FORWARD -p tcp -d $OUR_NET --tcp-flags RST RST,ACK -j DROP

iptables -A INPUT -p tcp -d $SERVER_IP --tcp-flags RST RST,ACK -m limit --limit 5/minute -j LOG --log-level notice

--log-prefix "SYN/RST: "

iptables -A INPUT -p tcp -d $SERVER_IP --tcp-flags RST RST,ACK -j DROP