Chinaunix首页 | 论坛 | 博客
  • 博客访问: 8106324
  • 博文数量: 159
  • 博客积分: 10424
  • 博客等级: 少将
  • 技术积分: 14615
  • 用 户 组: 普通用户
  • 注册时间: 2010-07-14 12:45
个人简介

啦啦啦~~~

文章分类
文章存档

2015年(5)

2014年(1)

2013年(5)

2012年(10)

2011年(116)

2010年(22)

分类: 网络与安全

2010-07-18 02:37:03

作者:gfree.wind@gmail.com
原文:http://blog.chinaunix.net/u3/116859/showart_2275438.html


常用ICMP(Ping)匹配规则

使用--icmp-type匹配 描述
--icmp-type 常用的类型为echo-reply和echo- request

下面是举例说明

iptables -A OUTPUT -p icmp -icmp-type echo-request -j ACCETPT

iptables -A INPUT -p icmp -icmp-type echo-reply -j ACCEPT

iptables 被配置为允许防火墙发送ICMP echo-requests(pings) 和接受期望的ICMP echo-replies包。

考虑另外一个例子

iptables -A INPUT -p icmp --icmp-type ehco-request -m limit --limit 1/s -i eth0 -j ACCEPT

iptables中的limit功能可以指定一秒钟匹配的平均数据包个数。你可以用 /second, /minute, /hour 或者/day指定时间间隔。或者使用缩写,所以3/second等于3/s。

在这个例子中,ICMP echo请求被限制为1秒最多发一个。当参数比较合适时,这个功能可以让你过滤掉不正常的DOS攻击和网络蠕虫。

iptables -A INPUT -p tcp --syn -m limit --limit 5/s -i eth0 -j ACCEPT

你可以扩展这 个iptables的limit功能,来降低遭受拒绝服务攻击的可能。这里是一个靠限制1秒钟最多5个TCP的syn连接来防范SYN洪水攻击。

阅读(5404) | 评论(0) | 转发(4) |
给主人留下些什么吧!~~