坐着,坐着,就胖了。。。
分类: 网络与安全
2013-11-08 19:37:00
原文地址:如何使用iptables(四) 作者:GFree_Wind
作者:gfree.wind@gmail.com
原文:http://blog.chinaunix.net/u3/116859/showart_2275438.html
常用ICMP(Ping)匹配规则
| 使用--icmp-type匹配 | 描述 |
| --icmp-type
| 常用的类型为echo-reply和echo- request |
下面是举例说明
iptables -A OUTPUT -p icmp -icmp-type echo-request -j ACCETPT
iptables -A INPUT -p icmp -icmp-type echo-reply -j ACCEPT
iptables 被配置为允许防火墙发送ICMP echo-requests(pings) 和接受期望的ICMP echo-replies包。
考虑另外一个例子
iptables -A INPUT -p icmp --icmp-type ehco-request -m limit --limit 1/s -i eth0 -j ACCEPT
iptables中的limit功能可以指定一秒钟匹配的平均数据包个数。你可以用 /second, /minute, /hour 或者/day指定时间间隔。或者使用缩写,所以3/second等于3/s。
在这个例子中,ICMP echo请求被限制为1秒最多发一个。当参数比较合适时,这个功能可以让你过滤掉不正常的DOS攻击和网络蠕虫。
iptables -A INPUT -p tcp --syn -m limit --limit 5/s -i eth0 -j ACCEPT
你可以扩展这 个iptables的limit功能,来降低遭受拒绝服务攻击的可能。这里是一个靠限制1秒钟最多5个TCP的syn连接来防范SYN洪水攻击。
