IPTABLEs

時間 2020-09-27

標籤 iptables 欄目系統網絡简体版

原文原文鏈接

一、限制本地主機的web服務器在週一不容許訪問；新請求的速率不能超過100個每秒；web服務器包含了admin字符串的頁面不容許訪問；web服務器僅容許響應報文離開本機；web

二、在工做時間，即週一到週五的8:30-18:00，開放本機的ftp服務給172.16.0.0網絡中的主機訪問；數據下載請求的次數每分鐘不得超過5個；服務器

三、開放本機的ssh服務給172.16.x.1-172.16.x.100中的主機，x爲你的座位號，新請求創建的速率一分鐘不得超過2個；僅容許響應報文經過其服務端口離開本機；網絡

四、拒絕TCP標誌位所有爲1及所有爲0的報文訪問本機；ssh

五、容許本機ping別的主機；但不開放別的主機ping本機；tcp

一、限制本地主機的web服務器在週一不容許訪問；新請求的速率不能超過100個每秒；web服務器包含了admin字符串的頁面不容許訪問；web服務器僅容許響應報文離開本機；ide

# iptables -t filter -A INPUT -d 192.168.2.5 -p tcp --dport 80 -m state --state NEW -m limit --limit 100/second -m time ! --weekdays Mon -j ACCEPTspa

# iptables -t filter -A INPUT -d 192.168.2.5 -p tcp --dport 80 -m state --state ESTABLISHED -j ACCEPTorm

# iptables -t filter -A OUTPUT-s 192.168.2.5 -p tcp --sport 80 -m state --state ESTABLISHED -m string --algo kmp ! --string "admin" -j ACCEPTip

二、在工做時間，即週一到週五的8:30-18:00，開放本機的ftp服務給192.168.2.0網絡中的主機訪問；數據下載請求的次數每分鐘不得超過5個字符串

# iptables -t filter -R INPUT 2 -d 192.168.2.5 -s 192.168.2.0/24 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -m time --weekdays Mon,Tus,Wed,Thu,Fri --timestart 08:00:00 --timestop 18:00:00 -j ACCEPT

# iptables -t filter -R INPUT 3 -d 192.168.2.5 -s 192.168.2.0/24 -p tcp -m state --state RELATED -m limit --limit 5/min -j ACCEPT

# iptables -t filter -A INPUT -d 192.168.2.5 -s 192.168.2.0/24 -p tcp -m state --state ESTABLISHED -j ACCEPT

# iptables -t filter -A OUTPUT -d 192.168.2.0/24 -s 192.168.2.5 -p tcp -m state --state ESTABLISHED -j ACCEPT

三、開放本機的ssh服務給192.168.2.10-192.168.2.20中的主機，新請求創建的速率一分鐘不得超過2個；僅容許響應報文經過其服務端口離開本機；

# iptables -t filter -A INPUT -d 192.168.2.5 -p tcp --dport 22 -m state --state NEW -m iprange --src-range 192.168.2.10-192.168.2.20 -m limit --limit 2/min -j ACCEPT

# iptables -t filter -A INPUT -d 192.168.2.5 -p tcp --dport 22 -m state --state ESTABLISHED -m iprange --src-range 192.168.2.10-192.168.2.20 -j ACCEPT

# iptables -t filter -A OUTPUT -s 192.168.2.5 -p tcp --sport 22 -m iprange --dst-range 192.168.2.10-192.168.2.20 -m state --state ESTABLISHED -j ACCEPT

四、拒絕TCP標誌位所有爲1及所有爲0的報文訪問本機；

# iptables -t filter -A INPUT -d 192.168.2.5 -p --tcp-flags ALL ALL -j DROP

五、容許本機ping別的主機；但不開放別的主機ping本機；

# iptables -A INPUT -p icmp --icmp-type 8 -d 192.168.2.5 -j DROP

# iptables -A OUTPUT -p icmp --icmp-type 0 -s 192.168.2.5 -j ACCEPT

相關標籤/搜索

dnsmasq+ipset+iptables

系統網絡

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。