正文

iptables案例2006-09-27 20:26:00

【评论】 【打印】 【字体: 】 本文链接:http://blog.pfan.cn/sovf/18856.html

分享到:

modprobe ip_tablesmodprobe iptable_natmodprobe ip_nat_ftpmodprobe ip_nat_ircmodprobe ip_conntrackmodprobe ip_conntrack_ftpmodprobe ip_conntrack_ircmodprobe ipt_MASQUERADE# 初绐化iptables/sbin/iptables -F /sbin/iptables -X/sbin/iptables -Z/sbin/iptables -F -t nat/sbin/iptables -X -t nat/sbin/iptables -Z -t nat/sbin/iptables -X -t mangle# 关闭所有进来数据,初始化/sbin/iptables -P INPUT DROP/sbin/iptables -P FORWARD DROP/sbin/iptables -P OUTPUT ACCEPT/sbin/iptables -t nat -P PREROUTING ACCEPT/sbin/iptables -t nat -P POSTROUTING ACCEPT/sbin/iptables -t nat -P OUTPUT ACCEPT#限制对内部封包的发送速度/sbin/iptables -A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT#限制建立联机的转发包的速度/sbin/iptables -A FORWARD -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT/sbin/iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT#防止SYN攻击 轻量/sbin/iptables -N syn-flood/sbin/iptables -A INPUT -p tcp --syn -j syn-flood/sbin/iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN/sbin/iptables -A syn-flood -j REJECT#设置icmp阔值 ,并对攻击者记录在案/sbin/iptables -A INPUT -p icmp -m limit --limit 3/s -j LOG --log-level INFO --log-prefix "ICMP packet IN: "/sbin/iptables -A INPUT -p icmp -m limit --limit 6/m -j ACCEPT/sbin/iptables -A INPUT -p icmp -j DROP#打开 syncookie 轻量级预防 DOS 攻击sysctl -w net.ipv4.tcp_syncookies=1 & > /dev/null#设置默认 TCP 连接痴呆时长为 3800 秒 此选项可以大大降低连接数 sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 & > /dev/null# 开放的那些端口/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 21 -j ACCEPT/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 22 -j ACCEPT/sbin/iptables -A INPUT -i $IFACE -p udp --dport 22 -j ACCEPT/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 25 -j ACCEPT/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 53 -j ACCEPT/sbin/iptables -A INPUT -i $IFACE -p udp --dport 53 -j ACCEPT/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 80 -j ACCEPT/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 100 -j ACCEPT/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 113 -j ACCEPT

阅读(3084) | 评论(0)


版权声明:编程爱好者网站为此博客服务提供商,如本文牵涉到版权问题,编程爱好者网站不承担相关责任,如有版权问题请直接与本文作者联系解决。谢谢!

评论

暂无评论
您需要登录后才能评论,请 登录 或者 注册