我想限制TCP每 10秒 30发 和 1分钟 480发 和 5分钟 10000发 请问用 iptable 应该如何写呢 ? 我试过这样, 但好像不行, 我伺服器只有WEB服务, 我这样做的目的 10秒 30发 <- 因为我没有用 keep-alive, 这样设定比较合理 1分钟 480发 <- 超过就一定是 DoS,上面的 10秒 30发 怎可能 1分钟有 480发, 已经不回应还在发, 必定是攻击或病毒 5分钟 10000发 <- 不用说吧, 防白痴病毒 -A INPUT -p tcp -m state --state NEW -j synfoold -...
by hksunny - 数据安全 - 2008-07-04 17:38:13 阅读(1343) 回复(1)
iptable分为三个表filter mangle nat filter和mangle可以结合起来做防火墙,进行流量端口等的控制。nat做地址转化可以看成做一个简单的路由来用。一般在进行iptables设置时先进行清除原有规则。在做这方面的东西时,首先要了解目的,然后规划怎么才能实现。关键在于一个思想,以及对这三个表的认识程度。网上对这进行介绍的东西太多了。我这里不做介绍,作为刚刚接触这个东西的我的感悟是,首先弄清目的,其次认识这三个表。接下去...
iptables -A INPUT -p tcp --dport 21 -j ACCEPT iptables -A INPUT -p tcp --dport 20 -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -P INPUT DROP FTP只可以登录,不可以进行数据传输 [root@localhost root]# iptables -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:ftp...
最近作一个单网卡的iptable防火墙, host winxp +vmware +guest redhat linux(9.0) 网络连接方式是host-only 配置脚本 然后再/etc/rc.local 加入启动脚本 防火墙规则,配置了,禁ping,但是host就是能ping通guest 疑问:1)服务里有iptable是否应该停掉(默认是开启的) 2)在启动linux过程中(黑底白字的时候),是否应该显示iptable start
我在我机器上做了如下规则,当我把ftp去掉,然后再打开时, 我的机器却死机了, 不知道从哪能够看出来,是不是因为内存太小,因为我这个机器同时还做WEB服务。#! /bin/sh /sbin/modprobe ip_conntrack_ftp /sbin/iptables -F -t filter /sbin/iptables -P INPUT DROP /sbin/iptables -P OUTPUT ACCEPT /sbin/iptables -P FORWARD DROP # ALLOW ALL in PRIVATE NET /sbin/iptables -A INPUT -i lo -j ACCEPT #/sbin/iptables -A I...
#iptables -t mangle -A PREROUTING -j TTL --ttl-set 64 iptables: No chain/target/match by that name 请问是什么原因?
给位大侠: 请教一个问题如何做到某台内部网的pc,限制其端口的上网功能,比如说只开放其1~79的port只要提供它基本的收发mail,ftp,tftp的功能,但是不提供大于这个端口的服务,比如80端口的web访问功能,请各位告知,谢谢 ps: 好像 iptables -A FORWARD -p tcp -s 192.168.0.11/32 --sport 1:79 -m state --state NEW -o eth0 -j ACCEPT 无效。
iptables -A INPUT -p tcp -m tcp --dport 21 --syn -j ACCEPT 可连接,但因不同的客户端软件在 ls,dir,get ...时使用不同的目的端口,致使 ftp>; ls 227 Entering Passive Mode (10,0,1,202,209,227) ftp: connect: Connection refused ftp>; mget ab* ftp: connect: Connection refused ftp>; 请教为保证客户端软件发出的随机端口请求也能 ACCEPT,该如何写 ? :wink: