netfilter/iptables IP 信息包過濾系統是一種功能強大的工具,可用於添加、編輯和除去規則,這些規則是在作信息包過濾決定時,防火牆所遵循和組成的規則。這些規則存儲在專用的信息包過濾表中,而這些表集成在 Linux 內核中。在信息包過濾表中,規則被分組放在咱們所謂的鏈(chain)中。 [喝小酒的網摘]http://blog.hehehehehe.cn/a/7674.htm
netfilter/iptables 的最大優勢是它能夠配置有狀態的防火牆,這是 ipfwadm 和 ipchains 等之前的工具都沒法提供的一種重要功能。有狀態的防火牆可以指定並記住爲發送或接收信息包所創建的鏈接的狀態。防火牆能夠從信息包的鏈接跟蹤狀態得到該信息。在決定新的信息包過濾時,防火牆所使用的這些狀態信息能夠增長其效率和速度。這裏有四種有效狀態,名稱分別爲 ESTABLISHED 、 INVALID 、 NEW 和 RELATED 。
#添加屏蔽IP
#禁止此IP訪問服務器
iptables -I INPUT -s 1.2.3.4 -j DROP
或
iptables -A INPUT -s 1.2.3.4 -j DROP
#禁止服務器訪問此IP
iptables -A OUTPUT -d 1.2.3.4 -j DROP
若是要封某個網段:
iptables -I INPUT -s 1.2.3.0/24 -j DROP
#清空屏蔽IP
iptables -t filter -D INPUT -s 1.2.3.4 -j DROP
iptables -t filter -D OUTPUT -d 1.2.3.4 -j DROP
#一鍵清空全部規則
iptables -F
#查看
iptables -L INPUT
或
iptables -L
或
iptables-save(此命令將保存規則,下次開機自動執行)
#處理IP碎片數量,防止攻擊,容許每秒100個
iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
#設置ICMP包過濾,容許每秒1個包,限制觸發條件是10個包
iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT[喝小酒的網摘]http://blog.hehehehehe.cn/a/7674.htm
netfilter/iptables 的最大優勢是它能夠配置有狀態的防火牆,這是 ipfwadm 和 ipchains 等之前的工具都沒法提供的一種重要功能。有狀態的防火牆可以指定並記住爲發送或接收信息包所創建的鏈接的狀態。防火牆能夠從信息包的鏈接跟蹤狀態得到該信息。在決定新的信息包過濾時,防火牆所使用的這些狀態信息能夠增長其效率和速度。這裏有四種有效狀態,名稱分別爲 ESTABLISHED 、 INVALID 、 NEW 和 RELATED 。
#添加屏蔽IP
#禁止此IP訪問服務器
iptables -I INPUT -s 1.2.3.4 -j DROP
或
iptables -A INPUT -s 1.2.3.4 -j DROP
#禁止服務器訪問此IP
iptables -A OUTPUT -d 1.2.3.4 -j DROP
若是要封某個網段:
iptables -I INPUT -s 1.2.3.0/24 -j DROP
#清空屏蔽IP
iptables -t filter -D INPUT -s 1.2.3.4 -j DROP
iptables -t filter -D OUTPUT -d 1.2.3.4 -j DROP
#一鍵清空全部規則
iptables -F
#查看
iptables -L INPUT
或
iptables -L
或
iptables-save(此命令將保存規則,下次開機自動執行)
#處理IP碎片數量,防止攻擊,容許每秒100個
iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
#設置ICMP包過濾,容許每秒1個包,限制觸發條件是10個包
iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT[喝小酒的網摘]http://blog.hehehehehe.cn/a/7674.htm