Chinaunix首页 | 论坛 | 博客
  • 博客访问: 198610
  • 博文数量: 34
  • 博客积分: 25
  • 博客等级: 民兵
  • 技术积分: 387
  • 用 户 组: 普通用户
  • 注册时间: 2012-04-10 21:00
个人简介

http://blog.chinaunix.net/uid/26870656.html 我是一个很懒的人

文章分类

全部博文(34)

文章存档

2014年(18)

2013年(9)

2012年(7)

分类: 系统运维

2014-11-24 11:53:42


iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j REJECT
允许单个IP的最大连接数为 30


iptables -t filter -A INPUT -p tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT
iptables限制单个地址的并发连接数量


iptables -t filter -A INPUT -p tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 24 -j REJECT
使用iptables限制单个c类子网的并发链接数量


iptables -A INPUT -s 192.168.0.8|192.168.0.0/24 -p tcp --dport 22 -j ACCEPT
只允许某IP或某网段的机器进行SSH连接


iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP
丢弃坏的TCP包


iptables -A FORWARD -f -m limit –limit 100/s –limit-burst 100 -j ACCEPT
处理IP碎片数量,防止攻击,允许每秒100个


iptables -A FORWARD -p icmp -m limit –limit 1/s –limit-burst 10 -j ACCEPT
设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包


iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP
禁止非法连接


iptables -N syn-flood
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -A syn-flood -p tcp -m limit --limit 3/s –limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT
防止SYN攻击 轻量


iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --syn --dport 22 -j ACCEPT
允许访问22端口


iptables -A INPUT -p tcp --syn --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --syn --dport 80 -j ACCEPT
允许访问80端口


iptables -A INPUT -j REJECT
iptables -A FORWARD -j REJECT
禁止其他未允许的规则访问(注意:如果22端口未加入允许规则,SSH链接会直接断开。)
阅读(2678) | 评论(1) | 转发(2) |
给主人留下些什么吧!~~

守候25813142015-02-13 20:04:25

很有用,都是一些常见的