- 论坛徽章:
- 0
|
我在我机器上做了如下规则,当我把ftp去掉,然后再打开时, 我的机器却死机了,
不知道从哪能够看出来,是不是因为内存太小,因为我这个机器同时还做WEB服务。#! /bin/sh
/sbin/modprobe ip_conntrack_ftp
/sbin/iptables -F -t filter
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD DROP
# ALLOW ALL in PRIVATE NET
/sbin/iptables -A INPUT -i lo -j ACCEPT
#/sbin/iptables -A INPUT -i eth1 -j ACCEPT
# FTP
/sbin/iptables -A INPUT -d XXX.XXX.XXX.XXX/24 -m limit --limit 100/s --limit-burst 100 -p tcp --dport 21 -j ACCEPT
# SSH & TELNET
/sbin/iptables -A INPUT -d XXX.XXX.XXX.XXX/24 -p tcp --dport 22 -j ACCEPT
# MAIL
/sbin/iptables -A INPUT -d XXX.XXX.XXX.XXX/24 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -d XXX.XXX.XXX.XXX/24 -p tcp --dport 110 -j ACCEPT
# WWW
/sbin/iptables -A INPUT -d XXX.XXX.XXX.XXX/24 -m limit --limit 100/s --limit-burst 100 -p tcp --dport 80 -j ACCEPT
# MYSQL
#/sbin/iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
# ICMP(PING)
/sbin/iptables -A INPUT -d XXX.XXX.XXX.XXX/24 -p icmp --icmp-type echo-request -j REJECT
/sbin/iptables -A INPUT -d XXX.XXX.XXX.XXX/24 -p icmp --icmp-type ! echo-request -j ACCEPT
#security
/sbin/iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
/sbin/iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# DENY OTHERS
#/sbin/iptables -A INPUT -d XXX.XXX.XXX.XXX/24 -m state --state ESTABLISHED,RELATED -j ACCEPT |
|
免费注册
发表于 2004-11-10 09:14
