iptables 一些有用的規則

2022-01-10 23:39:09 字數 2014 閱讀 3242

-a input -i lo -j accept #允許本機內部訪問,即回環

-a input -m state --state related,established -j accept #允許本機訪問外部

-a input -p icmp -m icmp --icmp-type 8 -j accept #允許ping

-a input -p tcp -m tcp --dport 22 -j accept #允許22 shell連線

-a input -p tcp -m tcp --dport 80 -j accept #允許80訪問

-a input -p tcp -m tcp --dport 443 -j accept #允許https訪問

-a input -p tcp -m tcp --dport 3690 -j accept #允許svn訪問

-a input -p tcp -m tcp --dport 3306 -j drop #禁止mysql外部訪問

-a input -p tcp -m state --state new -m tcp --dport 22 -j accept

-a input -p tcp -m state --state new -m tcp --dport 80 -j accept

-a input -p tcp -m state --state new -m tcp --dport 3690 -j accept

-a input -p tcp -m state --state new -m tcp --dport 21 -j accept

-a input -p tcp -m state --state new -m tcp --dport 8888 -j accept

-a input -p tcp -m state --state new -m tcp --dport 20000:30000 -j accept

-a input -p tcp -m state --state new -m tcp --dport 443 -j accept

-a input -p icmp -m limit --limit 1/sec --limit-burst 10 -j accept

-a input -f -m limit --limit 100/sec --limit-burst 100 -j accept

-a input -p tcp -m tcp --tcp-flags fin,syn,rst,ack syn -j syn-flood

-a input -j reject --reject-with icmp-host-prohibited

-a syn-flood -p tcp -m limit --limit 3/sec --limit-burst 6 -j return

-a syn-flood -j reject --reject-with icmp-port-unreachable

特殊規則,用於防攻擊使用

#允許單個ip訪問伺服器的80埠的最大連線數為 20


iptables -i input -p tcp --dport 80 -m connlimit --connlimit-above 20 -j reject 


#抵禦ddos ,允許外網最多24個初始連線,然後伺服器每秒新增12個,訪問太多超過的丟棄,第二條是允許伺服器內部每秒1個初始連線進行**


iptables -a input  -p tcp --syn -m limit --limit 12/s --limit-burst 24 -j accept


iptables -a forward -p tcp --syn -m limit --limit 1/s -j accept


iptables -a input -j reject --reject-with icmp-port-unreachable #拒絕所有的ip訪問所有的埠

iptables一些練習

可以參考之前的一起食用 允許來自192.168.0.0 16網段的位址來訪問我的192.168.1.7的sshd服務 22埠 定義進來的 iptables t filter a input s 192.168.0.0 16 d 192.168.1.7 p tcp dport 22 j accept ...

一些有用的函式

1.memset pbuffer,0,pbuffer length 初始化一段記憶體空間,初始值為0 2.sprintf pbuffer,fomatstring,作用和printf差不多,不同的是輸出到指定的快取pbuffer中,而不是輸出到dos控制台。3.sscanf pbuffer,fomat...

一些有用的轉換

relation with conversion 1.wchar tchar widechartomultibyte wcstombs cstring atl macros ole2a w2t w2ct lstrcpy note include swprintf wchar,l ls char wc...