zoukankan      html  css  js  c++  java
  • iptabels 的一些配置

    iptables -L -n
    iptables -F  
    iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD DROP
     
    #允许包从22端口进入  
    iptables -A INPUT -p tcp --dport 22  -j ACCEPT  
    #允许从22端口进入的包返回  
    iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
    #DNS 53 端口
    iptables -A OUTPUT -p udp --dport 53 -j ACCEPT  
    iptables -A INPUT -p udp --sport 53 -j ACCEPT  
    #允许所有IP访问80端口  
    iptables -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT  
    iptables -A OUTPUT  -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT  
    #允许所有IP访问MYSQL 3306端口  
    iptables -A INPUT -p tcp -s 0/0 --dport 3306 -j ACCEPT  
    iptables -A OUTPUT  -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT 
    #MFS开放端口 9425 9421 9419 端口
    iptables -A INPUT -p tcp -s 0/0 --dport 9425 -j ACCEPT 
    iptables -A OUTPUT  -p tcp --sport 9425 -m state --state ESTABLISHED -j ACCEPT
    iptables -A INPUT -p tcp -s 0/0 --dport 9421 -j ACCEPT
    iptables -A OUTPUT  -p tcp --sport 9421 -m state --state ESTABLISHED -j ACCEPT
    iptables -A INPUT -p tcp -s 0/0 --dport 9419 -j ACCEPT
    iptables -A OUTPUT  -p tcp --sport 9419 -m state --state ESTABLISHED -j ACCEPT
    iptables -A INPUT -p tcp -s 0/0 --dport 9420 -j ACCEPT
    iptables -A OUTPUT  -p tcp --sport 9420 -m state --state ESTABLISHED -j ACCEPT
     
    #本地的访问 环口
    iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
    #ICMP 禁止
    iptables -A INPUT -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
    iptables -n -L
     
     
     
     
    ------------------------------------------------------------------------
    iptables -A INPUT -p tcp --syn -m limit --limit 100/s --limit-burst 100 -j  ACCEPT 
    上面的命令每秒钟最多允许100个新连接,请注意这里的新连接指的是state为New的数据包,在后面我们也配置了允许状态为ESTABLISHED和RELATED的数据通过;
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
     

    iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s –limit-burst 10 -j ACCEPT
    这是为了防止ping洪水攻击,限制每秒的ping包不超过10个

    iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT

    上面的命令防止各种端口扫描,将SYN及ACK SYN限制为每秒钟不超过200个,免得把数务器带宽耗尽了
    -------------------------------------------------------------------------
  • 相关阅读:
    Failed to parse PID from file /run/nginx.pid: Invalid argument
    Ubuntu16.04环境下bashrc文件位置
    virtualenvwrapper.sh报错: There was a problem running the initialization hooks.解决
    pip安装virtualenvwrapper报错的解决办法
    争鸣|函数性质的综合应用辨析
    总结|静雅斋之2020高考备考回顾总结
    2020年全国卷Ⅱ卷文科数学图片版
    奇怪|说好的求最大值变成了求最小值
    探究|平面向量探究题
    平面向量错误收集
  • 原文地址:https://www.cnblogs.com/jicki/p/5546870.html
Copyright © 2011-2022 走看看