鹰击长空yuetao.org

5月 27

[原创]iptables 基本用法 不指定

yuetao , 19:17 , linux » iptable , 评论(0) , 引用(0) , 阅读(2794) , Via 本站原创 | |
【把目标IP地址的tcp入站数据丢弃】
#/sbin/iptables -I INPUT -p tcp -s 113.134.164.162 -j DROP

----------------------------------------------------------------------------------

【开放21端口入站】
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT

-----------------------------------------------------------------------------------

【显示当前输入、输出、转发链的列表(带规则链的序列号)】
iptables -nvL --line-numbers

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 DROP       tcp  --  *      *       113.134.164.162      0.0.0.0/0
2       29  1984 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
3    2380K  142M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
4        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:9733
5        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:9734
6        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:9735
7      541 31472 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
8     895K   50M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
9    259K   13M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpts:20000:30000
10    583K   31M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3306
11   1782K  185M REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 1280 packets, 3590K bytes)
num   pkts bytes target     prot opt in     out     source               destination

-------------------------------------------------------------------------------

【删除链序列号为1的规则】
#iptables -D INPUT 1

--------------------------------------------------


【linux 查看 ip并发数 排行】


netstat -na | grep ESTABLISHED | awk '{print$5}' | awk -F : '{print$1}' | sort | uniq -c | sort -r 


【统计80端口连接数】
 
netstat -nat | grep -i "80" | wc -l
 
1
 
【统计httpd协议连接数】
 
ps -ef | grep httpd | wc -l
 
1
 
【统计已连接上的,状态为“established'】
 
netstat -na | grep ESTABLISHED | wc -l



【限制与80端口连接的IP最大连接数为10,可自定义修改。】


iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP



【使用recent模块限制同IP时间内新请求连接数,recent更多功能请参考:Iptables模块recent应用。】

iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j LOG --log-prefix 'DDOS:' --log-ip-options
#60秒10个新连接,超过记录日志。

iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j DROP
#60秒10个新连接,超过丢弃数据包。

iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --set -j ACCEPT
#范围内允许通过。


Tags:
发表评论

昵称

主页

邮箱

打开HTML 打开UBB 打开表情 隐藏 记住我 [登入] [注册]