modprobe ip_tables
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe ipt_MASQUERADE
# 初绐化iptables
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
/sbin/iptables -F -t nat
/sbin/iptables -X -t nat
/sbin/iptables -Z -t nat
/sbin/iptables -X -t mangle
# 关闭所有进来数据,初始化
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
#限制对内部封包的发送速度
/sbin/iptables -A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT
#限制建立联机的转发包的速度
/sbin/iptables -A FORWARD -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT
#防止SYN攻击 轻量
/sbin/iptables -N syn-flood
/sbin/iptables -A INPUT -p tcp --syn -j syn-flood
/sbin/iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN
/sbin/iptables -A syn-flood -j REJECT
#设置icmp阔值 ,并对攻击者记录在案
/sbin/iptables -A INPUT -p icmp -m limit --limit 3/s -j LOG --log-level INFO --log-prefix "ICMP packet IN: "
/sbin/iptables -A INPUT -p icmp -m limit --limit 6/m -j ACCEPT
/sbin/iptables -A INPUT -p icmp -j DROP
#打开 syncookie 轻量级预防 DOS 攻击
sysctl -w net.ipv4.tcp_syncookies=1 & > /dev/null
#设置默认 TCP 连接痴呆时长为 3800 秒 此选项可以大大降低连接数
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 & > /dev/null
# 开放的那些端口
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p udp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p udp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 100 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 113 -j ACCEPT
正文
iptables案例2006-09-27 20:26:00
【评论】 【打印】 【字体:大 中 小】 本文链接:http://blog.pfan.cn/sovf/18856.html
阅读(2995) | 评论(0)
版权声明:编程爱好者网站为此博客服务提供商,如本文牵涉到版权问题,编程爱好者网站不承担相关责任,如有版权问题请直接与本文作者联系解决。谢谢!
评论