Chinaunix首页 | 论坛 | 博客
  • 博客访问: 184891
  • 博文数量: 71
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 48
  • 用 户 组: 普通用户
  • 注册时间: 2013-09-27 14:13
个人简介

坐着,坐着,就胖了。。。

文章分类

全部博文(71)

文章存档

2014年(15)

2013年(56)

我的朋友

分类: 网络与安全

2013-11-08 19:37:00

原文地址:如何使用iptables(四) 作者:GFree_Wind

作者:gfree.wind@gmail.com
原文:http://blog.chinaunix.net/u3/116859/showart_2275438.html


常用ICMP(Ping)匹配规则

使用--icmp-type匹配 描述
--icmp-type 常用的类型为echo-reply和echo- request

下面是举例说明

iptables -A OUTPUT -p icmp -icmp-type echo-request -j ACCETPT

iptables -A INPUT -p icmp -icmp-type echo-reply -j ACCEPT

iptables 被配置为允许防火墙发送ICMP echo-requests(pings) 和接受期望的ICMP echo-replies包。

考虑另外一个例子

iptables -A INPUT -p icmp --icmp-type ehco-request -m limit --limit 1/s -i eth0 -j ACCEPT

iptables中的limit功能可以指定一秒钟匹配的平均数据包个数。你可以用 /second, /minute, /hour 或者/day指定时间间隔。或者使用缩写,所以3/second等于3/s。

在这个例子中,ICMP echo请求被限制为1秒最多发一个。当参数比较合适时,这个功能可以让你过滤掉不正常的DOS攻击和网络蠕虫。

iptables -A INPUT -p tcp --syn -m limit --limit 5/s -i eth0 -j ACCEPT

你可以扩展这 个iptables的limit功能,来降低遭受拒绝服务攻击的可能。这里是一个靠限制1秒钟最多5个TCP的syn连接来防范SYN洪水攻击。

阅读(1079) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~