啦啦啦~~~
分类: 网络与安全
2010-07-18 02:37:03
作者:gfree.wind@gmail.com
原文:http://blog.chinaunix.net/u3/116859/showart_2275438.html
常用ICMP(Ping)匹配规则
使用--icmp-type匹配 | 描述 |
--icmp-type
| 常用的类型为echo-reply和echo- request |
下面是举例说明
iptables -A OUTPUT -p icmp -icmp-type echo-request -j ACCETPT
iptables -A INPUT -p icmp -icmp-type echo-reply -j ACCEPT
iptables 被配置为允许防火墙发送ICMP echo-requests(pings) 和接受期望的ICMP echo-replies包。
考虑另外一个例子
iptables -A INPUT -p icmp --icmp-type ehco-request -m limit --limit 1/s -i eth0 -j ACCEPT
iptables中的limit功能可以指定一秒钟匹配的平均数据包个数。你可以用 /second, /minute, /hour 或者/day指定时间间隔。或者使用缩写,所以3/second等于3/s。
在这个例子中,ICMP echo请求被限制为1秒最多发一个。当参数比较合适时,这个功能可以让你过滤掉不正常的DOS攻击和网络蠕虫。
iptables -A INPUT -p tcp --syn -m limit --limit 5/s -i eth0 -j ACCEPT
你可以扩展这 个iptables的limit功能,来降低遭受拒绝服务攻击的可能。这里是一个靠限制1秒钟最多5个TCP的syn连接来防范SYN洪水攻击。