防止DoS攻击
iptables -A INPUT -p tcp --dport 80 -m limit --limit 50/minute --limit-burst 150 -j ACCEPT
- -m limit: 启用limit扩展
- –limit 25/minute: 允许最多每分钟25个连接
- –limit-burst 100: 当达到100个连接后,才启用上述25/minute限制
对icmp的burst限制
iptables -A INPUT -p icmp -m limit --limit 1/sec --limit-burst 10 -j ACCEPT
iptables -A INPUT -p icmp -j DROP
限制每秒只接受一个 icmp echo-request 封包
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 1 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
防治 SYN-Flood 碎片攻击
iptables -N syn-flood
iptables -A syn-flood -m limit --limit 100/s --limit-burst 150 -j RETURN
iptables -A syn-flood -j DROP
iptables -I INPUT -j syn-flood
防端口扫描
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
安装iptable iptable-service
- #先检查是否安装了iptables
- service iptables status
- #安装iptables
- yum install -y iptables
- #升级iptables
- yum update iptables
- #安装iptables-services
- yum install iptables-services
禁用/停止自带的firewalld服务
- #停止firewalld服务
- systemctl stop firewalld
- #禁用firewalld服务
- systemctl mask firewalld
设置现有规则
- #查看iptables现有规则
- iptables -L -n
- #先允许所有,不然有可能会杯具
- iptables -P INPUT ACCEPT
- #清空所有默认规则
- iptables -F
- #清空所有自定义规则
- iptables -X
- #所有计数器归0
- iptables -Z
- #允许来自于lo接口的数据包(本地访问)
- iptables -A INPUT -i lo -j ACCEPT
- #开放22端口
- iptables -A INPUT -p tcp --dport 22 -j ACCEPT
- #开放21端口(FTP)
- iptables -A INPUT -p tcp --dport 21 -j ACCEPT
- #开放80端口(HTTP)
- iptables -A INPUT -p tcp --dport 80 -j ACCEPT
- #开放443端口(HTTPS)
- iptables -A INPUT -p tcp --dport 443 -j ACCEPT
- #开放6379端口(redis)
- iptables -A INPUT -p tcp --dport 6379 -j ACCEPT
- #开放11211端口(memcached缓存)
- iptables -A INPUT -p tcp --dport 11211 -j ACCEPT
- #开放3306端口(mysql)
- iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
- #开放5555端口(云锁)
- iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT
- iptables -A INPUT -p udp -m udp --dport 5555 -j ACCEPT
- iptables -A OUTPUT -p tcp -m tcp --dport 5555 -j ACCEPT
- iptables -A OUTPUT -p udp -m udp --dport 5555 -j ACCEPT
- #开放55555,888端口(宝塔)
- iptables -A INPUT -p tcp --dport 55555 -j ACCEPT
- iptables -A INPUT -p tcp --dport 888 -j ACCEPT
-
- #禁止ping
- iptables -A INPUT -p icmp --icmp-type 8 -j DROP (允许ping为: ACCEPT)
- #允许接受本机请求之后的返回数据 RELATED,是为FTP设置的
- iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
- #其他入站一律丢弃
- iptables -P INPUT DROP
- #所有出站一律绿灯
- iptables -P OUTPUT ACCEPT
- #所有转发一律丢弃
- iptables -P FORWARD DROP
其他规则设定
- #如果要添加内网ip信任(接受其所有TCP请求)
- iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT
- #过滤所有非以上规则的请求
- iptables -P INPUT DROP
- #要封停一个IP,使用下面这条命令:
- iptables -I INPUT -s ***.***.***.*** -j DROP
- #要解封一个IP,使用下面这条命令:
- iptables -D INPUT -s ***.***.***.*** -j DROP
修改防火墙: vi /etc/sysconfig/iptables
保存规则设定
- #保存上述规则
- service iptables save
开启iptables服务
- #注册iptables服务
- #相当于以前的chkconfig iptables on
- systemctl enable iptables.service
- systemctl restart iptables.service
- systemctl stop iptables.service
- #开启服务
- systemctl start iptables.service
- #查看状态
- systemctl status iptables.service
签名:这个人很懒,什么也没有留下!
