zoukankan      html  css  js  c++  java

  • iptabels 的一些配置

    iptables -L -n
    iptables -F  
    iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD DROP
     
    #允许包从22端口进入  
    iptables -A INPUT -p tcp --dport 22  -j ACCEPT  
    #允许从22端口进入的包返回  
    iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
    #DNS 53 端口
    iptables -A OUTPUT -p udp --dport 53 -j ACCEPT  
    iptables -A INPUT -p udp --sport 53 -j ACCEPT  
    #允许所有IP访问80端口  
    iptables -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT  
    iptables -A OUTPUT  -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT  
    #允许所有IP访问MYSQL 3306端口  
    iptables -A INPUT -p tcp -s 0/0 --dport 3306 -j ACCEPT  
    iptables -A OUTPUT  -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT 
    #MFS开放端口 9425 9421 9419 端口
    iptables -A INPUT -p tcp -s 0/0 --dport 9425 -j ACCEPT 
    iptables -A OUTPUT  -p tcp --sport 9425 -m state --state ESTABLISHED -j ACCEPT
    iptables -A INPUT -p tcp -s 0/0 --dport 9421 -j ACCEPT
    iptables -A OUTPUT  -p tcp --sport 9421 -m state --state ESTABLISHED -j ACCEPT
    iptables -A INPUT -p tcp -s 0/0 --dport 9419 -j ACCEPT
    iptables -A OUTPUT  -p tcp --sport 9419 -m state --state ESTABLISHED -j ACCEPT
    iptables -A INPUT -p tcp -s 0/0 --dport 9420 -j ACCEPT
    iptables -A OUTPUT  -p tcp --sport 9420 -m state --state ESTABLISHED -j ACCEPT
     
    #本地的访问 环口
    iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
    #ICMP 禁止
    iptables -A INPUT -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
    iptables -n -L
     
     
     
     
    ------------------------------------------------------------------------
    iptables -A INPUT -p tcp --syn -m limit --limit 100/s --limit-burst 100 -j  ACCEPT 
    上面的命令每秒钟最多允许100个新连接,请注意这里的新连接指的是state为New的数据包,在后面我们也配置了允许状态为ESTABLISHED和RELATED的数据通过;
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
     

    iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s –limit-burst 10 -j ACCEPT
    这是为了防止ping洪水攻击,限制每秒的ping包不超过10个

    iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT

    上面的命令防止各种端口扫描,将SYN及ACK SYN限制为每秒钟不超过200个,免得把数务器带宽耗尽了
    -------------------------------------------------------------------------
  • 相关阅读:
    @@IDENTITY 存储过程
    ASP.NET的Cookie和Session
    数据格式设置表达式
    DataTable类(MSDN)
    用静态变量代替appliction
    C cgi url 编码解码问题
    C#视频头操作
    c#网页抓取
    c语言字符串分隔
    CGI c 上传文件
  • 原文地址:https://www.cnblogs.com/jicki/p/5546870.html
Copyright © 2011-2022 走看看