iptables 安全

参数：

-I 添加到最前面一条

-A 添加到最后面一条

具体例子：

1.允许状态类链接通过

iptables -I INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited

iptables -I FORWARD -j REJECT --reject-with icmp-host-prohibited

2.开放ssh 端口

iptables -I INPUT -p tcp --dport 22 -j ACCEPT

3.开放80端口

iptables -I INPUT -p tcp --dport 80 -j ACCEPT

4.拒绝其他所有

iptables -A INPUT -j DROP

访问限制防攻击基本的策略

1.限制与80端口连接的IP最大连接数为10，可自定义修改。

iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP

2.使用recent模块限制同IP时间内新请求连接数，recent更多功能请参考：Iptables模块recent应用。

#60秒10个新连接，超过记录日志。

iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j LOG --log-prefix 'DDOS:' --log-ip-options

#60秒10个新连接，超过丢弃数据包。

iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j DROP

#范围内允许通过。

iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --set -j ACCEPT

iptables 安全策略

iptables 安全

Lzay