*raw
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -p tcp -m tcp --dport 80 -j NOTRACK
-A OUTPUT -p tcp -m tcp --sport 80 -j NOTRACK
COMMIT
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p udp -m udp --dport 161 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 15/sec --limit-burst 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --rttl --name SSH --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m limit --limit 15/min --limit-burst 20 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 3306 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443,843,1723 -j ACCEPT
COMMIT
如果你内外网都接在一个交换机上,-i eth1限制访问数据库的网卡是不可取的
因为同一个交换机上内网数据很可能从外网网卡进去的。
这时要改为-s 192.168.1.0/24
iptables -I INPUT -s ! x.x.x.x -p tcp -m tcp --dport 80 -m string --algo bm --string "BlueSeaBaiduService/ShopAction.do" -j DROP
限制指定页面的访问权限
阅读(1063) | 评论(0) | 转发(0) |
