一、iptables 禁止 IP
- 禁止指定 IP
iptables -I INPUT -s 10.0.28.15 -j DROP
- 禁止指定 IP段
iptables -I INPUT -s 10.0.28.15/24 -j DROP
- 禁止指定 IP和端口
iptables -I INPUT -s 10.0.28.15 -ptcp --dport 22 -j DROP
- 查看当前的IP规则列表
iptables -L
二、iptables 拦截记录查看
用命令 iptables -vnL 查看效果:
三、iptables 解封禁止 IP
iptables -D INPUT -s 10.0.28.15 -j DROP
参数-I是表示 Insert (添加),-D表示 Delete (删除)。后面跟的是规则, INPUT 表示入站,10.0.28.15表示要封停的IP, DROP 表示放弃连接。
四、其它
限制syn并发的次数以及同一个IP 新建连接数的数量
# 限制 syn 并发数为每秒 1 次 $ iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
# 限制单个 IP 在 60 秒新建立的连接数为 10 $ iptables -I INPUT -p tcp --dport 80 --syn -m recent --name SYN_FLOOD --update --seconds 60 --hitcount 10 -j REJECT