狠狠做深爱婷婷久久综合一区,亚洲精品国产精品乱码不99按摩 ,97久久精品人人澡人人爽

View Post

iptables 入門

這一節開始說明 iptables 的觀念及用法

iptables 中的指令，均需區分大小寫。
ipchains 和 iptables 在語法上的主要的差異，注意如下∶
   1. 在 ipchains 中，諸如 input 鏈，是使用小寫的 chains 名，在 iptables 中，要改用大寫 INPUT。
   2. 在 iptables 中，要指定規則是欲作用在那一個規則表上(使用 -t 來指定，如 -t nat)，若不指定，則預設是作用在 filter 這個表。
   3. 在 ipchains 中， -i 是指介面(interface)，但在 iptables 中，-i 則是指進入的方向，且多了 -o，代表出去的方向。
   4. 在 iptables 中，來源 port 要使用關鍵字 --sport 或 --source-port
   5. 在 iptables 中，目的 port 要使用關鍵字 --dport 或 --destination-port
   6. 在 iptables 中，"丟棄" 的處置動作，不再使用 DENY 這個 target，改用 DROP。
   7. 在 ipchains 的記錄檔功能 -l，已改為目標 -j LOG，并可指定記錄檔的標題。
   8. 在 ipchains 中的旗標 -y，在 iptables 中可用 --syn 或 --tcp-flag SYN,ACK,FIN SYN
   9. 在 iptables 中，imcp messages 型態，要加上關鍵字 --icmp-type，如∶
   iptables -A OUTPUT -o eth0 -p icmp -s $FW_IP --icmp-type 8 -d any/0 -j ACCEPT
iptables 使用時的樣板
   在設定 iptables 的封包過濾規則時，有幾個樣板的動作，若先熟悉它們，往后就可自行套用，依此類推，很快地，您就可以進入這個天地之中。

觀察目前的設定
作法如下∶
iptables -L -n
iptablse -t nat -L -n
定義變數
FW_IP="163.26.197.8"
打開核心 forward 功能
作法如下∶
###-----------------------------------------------------###
# 打開 forward 功能
###-----------------------------------------------------###
echo "1" > /proc/sys/net/ipv4/ip_forward
清除所有的規則
一開始要先清除所有的規則，重新開始，以免舊有的規則影響新的設定。作法如下∶
###-----------------------------------------------------###
# 清除先前的設定
###-----------------------------------------------------###
# 清除預設表 filter 中，所有規則鏈中的規則
iptables –F
# 清除預設表 filter 中，使用者自訂鏈中的規則
iptables -X
# 清除mangle表中，所有規則鏈中的規則
iptables -F -t mangle
# 清除mangle表中，使用者自訂鏈中的規則
iptables -t mangle -X
# 清除nat表中，所有規則鏈中的規則
iptables -F -t nat
# 清除nat表中，使用者自訂鏈中的規則
iptables -t nat -X
選定預設的政策
接著，要選定各個不同的規則鏈，預設的政策為何。作法如下∶
預設全部丟棄∶
###-----------------------------------------------------###
# 設定 filter table 的預設政策
###-----------------------------------------------------###
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
或者預設全部接受∶
###-----------------------------------------------------###
# 設定 filter table 的預設政策
###-----------------------------------------------------###
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
各個規則鏈的預設政策可獨立自主的設定，不必受其它鏈的影響。
以下練習，若目標為 DROP，則 policy 請設為 ACCEPT；若目標為 ACCEPT，則 policy 請設為 DROP，如此方可看出效果。
開放某一個介面
作法如下∶
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
注∶IPFW 或 Netfilter 的封包流向，local process 不會經過 FORWARD Chain，
因此 lo 只在 INPUT 及 OUTPUT 二個 chain 作用。
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -o eth1 -j ACCEPT
IP 偽裝
使內部網路的封包經過偽裝之后，使用對外的 eth0 網卡當作代表號，對外連線。作法如下∶
###-----------------------------------------------------###
# 啟動內部對外轉址
###-----------------------------------------------------###
iptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source $FW_IP
上述指令意指∶把 172.16.0.0/16 這個網段，偽裝成 $FW_IP 出去。
虛擬主機
利用轉址、轉 port 的方式，使外部網路的封包，可以到達內部網路中的伺服主機，俗稱虛擬主機。這種方式可保護伺服主機大部份的 port 不被外界存取，只開放公開服務的通道(如 Web Server port 80)，因此安全性甚高。
作法如下∶
###-----------------------------------------------------###
# 啟動外部對內部轉址
###-----------------------------------------------------###
# 凡對 $FW_IP:80 連線者, 則轉址至 172.16.255.2:80
iptables -t nat -A PREROUTING -i eth0 -p tcp -d $FW_IP --dport 80 -j DNAT --to-destination 172.16.255.2:80
開放內部主機可以 telnet 至外部的主機
開放內部網路，可以 telnet 至外部主機。
作法如下∶(預設 policy 為 DROP)
###-----------------------------------------------------###
# open 外部主機 telnet port 23
###-----------------------------------------------------###
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 23 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 23 -d $FW_IP --dport 1024:65535 -j ACCEPT
開放郵包轉遞通道
開放任意的郵件主機送信包給你的 Mail Server，而你的 Mail Server 也可以送信包過去。
作法如下∶(預設 policy 為 DROP)
###-----------------------------------------------------###
# open SMTP port 25
###-----------------------------------------------------###
# 以下是∶別人可以送信給你
iptables -A INPUT -i eth0 -p tcp -s any/0 --sport 1024:65535 -d $FW_IP --dport 25 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp ! --syn -s $FW_IP --sport 25 -d any/0 --dport 1024:65535 -j ACCEPT
# 以下是∶你可以送信給別人
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 25 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 25 -d $FW_IP --dport 1024:65525 -j ACCEPT
開放對外離線下載信件的通道
開放內部網路可以對外部網路的 POP3 server 取信件。
作法如下∶(預設 policy 為 DROP)
###-----------------------------------------------------###
# open 對外部主機的 POP3 port 110
###-----------------------------------------------------###
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 110 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 110 -d $FW_IP --dport 1024:65535 -j ACCEPT
開放觀看網頁的通道
開放內部網路可以觀看外部網路的網站。
作法如下∶(預設 policy 為 DROP)
###-----------------------------------------------------###
# open 對外部主機的 HTTP port 80
###-----------------------------------------------------###
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 80 -d $FW_IP --dport 1024:65535 -j ACCEPT
開放查詢外部網路的 DNS 主機
開放內部網路，可以查詢外部網路任何一臺 DNS 主機。
作法如下∶(預設 policy 為 DROP)
###-----------------------------------------------------###
# open DNS port 53
###-----------------------------------------------------###
# 第一次會用 udp 封包來查詢
iptables -A OUTPUT -o eth0 -p udp -s $FW_IP --sport 1024:65535 -d any/0 --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -s any/0 --sport 53 -d $FW_IP --dport 1024:65535 -j ACCEPT
# 若有錯誤，會改用 tcp 封包來查詢
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 53 -d $FW_IP --dport 1024:65535 -j ACCEPT
# 開放這臺主機上的 DNS 和外部的 DNS 主機互動查詢∶使用 udp
iptables -A OUTPUT -o eth0 -p udp -s $FW_IP --sport 53 -d any/0 --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -s any/0 --sport 53 -d $FW_IP --dport 53 -j ACCEPT
# 開放這臺主機上的 DNS 和外部的 DNS 主機互動查詢∶使用 tcp
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 53 -d any/0 --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! -y -s any/0 --sport 53 -d $FW_IP --dport 53 -j ACCEPT
開放內部主機可以 ssh 至外部的主機
開放內部網路，可以 ssh 至外部主機。
作法如下∶(預設 policy 為 DROP)
###-----------------------------------------------------###
# open 外部主機 ssh port 22
###-----------------------------------------------------###
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 22 -d $FW_IP --dport 1024:65535 -j ACCEPT
# 以下是 ssh protocol 比較不同的地方
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1020:1023 -d any/0 --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 22 -d $FW_IP --dport 1020:1023 -j ACCEPT
開放內部主機可以 ftp 至外部的主機
開放內部網路，可以 ftp 至外部主機。
作法如下∶(預設 policy 為 DROP)
###-----------------------------------------------------###
# open 對外部主機 ftp port 21
###-----------------------------------------------------###
# 以下是打開命令 channel 21
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 21 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 21 -d $FW_IP --dport 1024:65535 -j ACCEPT

# 以下是打開資料 channel 20
iptables -A INPUT -i eth0 -p tcp -s any/0 --sport 20 -d $FW_IP --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp ! --syn -s $FW_IP --sport 1024:65535 -d any/0 --dport 20 -j ACCEPT
# 以下是打開 passive mode FTP 資料通道
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 1024:65535 -d $FW_IP --dport 1024:65535 -j ACCEPT
開放 ping
可以對外 ping 任何一臺主機。
作法如下∶(預設 policy 為 DROP)
iptables -A OUTPUT -o eth0 -p icmp -s $FW_IP --icmp-type 8 -d any/0 -j ACCEPT
iptables -A INPUT -i eth0 -p icm -s any/0 --icmp-type 0 -d $FW_IP -j ACCEPT

IPTABLES實例1

假設網絡環境如下：某一單位，租用DDN專線上網，網絡拓撲如下：

+----------------+

| 內部網段 | eth1+--------------+eth0 DDN

|------------------ |<=====>| firewall |<======>Internet

| 198.168.80.0 | +--------------+

+--------------+

eth0: 198.199.37.254

eth1: 198.168.80.254

以上的IP地址都是Internet上真實的IP，故沒有用到IP欺騙。并且，我們假設在內部網中存在以下服務器：

www服務器：www.yourdomain.com 198.168.80.11

ftp服務器：ftp.yourdomain.com 198.168.80.12

email服務器：mail.yourdomain.com 198.168.80.13

下面我們將用iptables一步一步地來建立我們的包過濾防火墻，需要說明的是，在這個例子中，我們主要是對內部的各種服務器提供保護。

1. 在/etc/rc.d/目錄下用touch命令建立firewall文件，執行chmod u+x firewll以更改文件屬性，編輯/etc/rc.d/rc.local文件，在末尾加上 /etc/rc.d/firewall 以確保開機時能自動執行該腳本。

2. 刷新所有的鏈的規則

#!/bin/sh

echo "Starting iptables rules..."

#Refresh all chains

/sbin/iptables -F

3. 我們將首先禁止轉發任何包，然后再一步步設置允許通過的包。

所以首先設置防火墻FORWARD鏈的策略為DROP：

/sbin/iptables -P FORWARD DROP

4.設置關于服務器的包過慮規則：

在這里需要注意的是，服務器/客戶機交互是有來有往的，也就是說是雙向的，所以我們不僅僅要設置數據包出去的規則，還要設置數據包返回的規則，我們先建立針對來自Internet數據包的過慮規則。

WWW服務：服務端口為80，采用tcp或udp協議。規則為：eth0=>允許目的為內部網WWW服務器的包。

#Allow www request packets from Internet clients to www servers

/sbin/iptables -A FORWARD -p tcp -d 198.168.80.11 --dport www -i eth0 -j ACCEPT

FTP服務：FTP服務有點特別，因為需要兩個端口，因為FTP有命令通道和數據通道。其中命令端口為21，數據端口為20，并且有主動和消極兩種服務模式，其消極模式連接過程為：FTP客戶端首先向FTP服務器發起連接請求，三步握手后建立命令通道，然后由FTP服務器請求建立數據通道，成功后開始傳輸數據，現在大多數FTP客戶端均支持消極模式，因為這種模式可以提高安全性。FTP服務采用tcp協議。規則為：eth0=>僅允許目的為內部網ftp服務器的包。

#Allow ftp request packets from Internet clients to Intranet ftp server

/sbin/iptables -A FORWARD -p tcp -d 198.168.80.12 --dport ftp -i eth0 -j ACCEPT

EMAIL服務：包含兩個協議，一是smtp，一是pop3。出于安全性考慮，通常只提供對內的pop3服務，所以在這里我們只考慮針對smtp的安全性問題。smtp端口為21，采用tcp協議。eth0=>僅允許目的為email服務器的smtp請求。

/sbin/iptables -A FORWARD -p tcp -d 198.168.80.13 --dport smtp -i eth0 -j ACCEPT

5. 設置針對Intranet客戶的過慮規則：

在本例中我們的防火墻位于網關的位置，所以我們主要是防止來自Internet的攻擊，不能防止來自Intranet的攻擊。假如我們的服務器都是基于linux的，也可以在每一部服務器上設置相關的過慮規則來防止來自Intranet的攻擊。對于Internet對Intranet客戶的返回包，我們定義如下規則。

/sbin/iptables -A FORWARD -p tcp -s 0/0 --sport ftp-data -d 198.168.80.0/24 -i eth0 -j ACCEPT

/sbin/iptables -A FORWARD -p tcp -d 198.168.80.0/24 ! -syn -i eth0 -j ACCEPT

/sbin/iptables -A FORWARD -p udp -d 198.168.80.0/24 -i eth0 -j ACCEPT

說明：第一條允許Intranet客戶采用消極模式訪問Internet的FTP服務器；第二條接收來自Internet的非連接請求tcp包；最后一條接收所有udp包，主要是針對oicq等使用udp的服務。

6. 接受來自整個Intranet的數據包過慮，我們定義如下規則：

/sbin/iptables -A FORWARD -s 198.168.80.0/24 -i eth1 -j ACCEPT

7. 處理ip碎片

我們接受所有的ip碎片，但采用limit匹配擴展對其單位時間可以通過的ip碎片數量進行限制，以防止ip碎片攻擊。

/sbin/iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

說明：對不管來自哪里的ip碎片都進行限制，允許每秒通過100個ip碎片，該限制觸發的條件是100個ip碎片。

8. 設置icmp包過濾

icmp包通常用于網絡測試等，故允許所有的icmp包通過。但是黑客常常采用icmp進行攻擊，如ping of death等，所以我們采用limit匹配擴展加以限制：

/sbin/iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

說明：對不管來自哪里的icmp包都進行限制，允許每秒通過一個包，該限制觸發的條件是10個包。

IPTABLES實例2

假設網絡環境如下：某一單位，租用DDN專線上網，網絡拓撲如下：

+--------------------+

| 內部網段 | eth0 +---------+ eth1 DDN

|-----------------------|<=====>| firewall |<======>Internet

| 210.35.92.128/25 | +----------+

+--------------------+

eth0: 210.35.92.129/25

eth1: 210.35.88.254/24

下面我們將用iptables一步一步地來建立我們的包過濾防火墻

#清除FORWARD表

iptables -F FORWARD

#制訂FORARD表的策略

iptables -P FORWARD DORP

#拒絕聲稱為內部網地址,但是從外網卡來的包

iptables -A INPUT -s 210.35.92.128/25 -i eth1 -j DROP

#拒絕ICMP到內部網廣播地址的smurf式的攻擊

iptables -A FORWARD -p icmp -i eth1 -d 210.35.92.255/25 -j DORP

#我們想接受碎片包

iptables -A FORWARD -f -j ACCEPT

#我們接收已經建立tcp連接的tcp包

iptables -A FORWARD -m multiport -p tcp -d 210.35.92.128/25 --dports smtp,www ! -tcp-flages SYN,ACK ACK -j ACCEPT

iptables -A FORWARD -m multiport -p tcp -d 210.35.92.128/25 --sports smtp,www ! tcp-flages SYN,ACK ACK -j ACCEPT

#我們接受我們允許端口來的tcp請求連接

iptables -A FORWARD -m multiport -p tcp -i eth1 -d 210.35.92.128/25 --dports smtp,www --syn -j ACCEPT

#我們接受我們允許端口出去的tcp請求連接

iptables -A FORWARD -m multiport -p tcp -i eth0 -d 0/0 --dports smtp,www,ftp,ftp-data,irc --syn -j ACCEPT

#我們接受我們允許端口來的udp包

iptables -A FORWARD -m multiport -p udp -i eth1 -d 210.35.92.128/25 --dports smtp,www -j ACCEPT

iptables -A FORWARD -m multiport -p udp -i eth1 -d 210.35.92.128/25 --sports smtp,www -j ACCEPT

#我們接受我們允許端口出去的udp包

iptables -A FORWARD -m multiport -p udp -i eth0 -d 0/0 --dports smtp,www,ftp,ftp-data,irc

iptables -A FORWARD -m multiport -p udp -i eth0 -d 0/0 --sports smtp,www,ftp,ftp-data,irc

#我們接受我們允許類型的進來的ICMP包

iptables -A FORWARD -m multiport -p icmp -i eth1 -d 210.35.92.128/25 --dports 0,3,11 -j ACCEPT

#我們接受我們允許類型的出去的ICMP包

iptables -A FORWARD -m multiport -p icmp -i eth0 -d 0/0 --dports 8,3,11 -j ACCEPT

自己實踐過的腳本

#!/bin/sh

#初始化iptables的netfilter和nat表,以及定制鏈的策略.

iptables -F

iptables -t nat -F

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

#內部回環網絡永遠打開.

iptables -A INPUT -i lo -s 127.0.0.1 -j ACCEPT

iptables -A OUTPUT -o lo -s 127.0.0.1 -j ACCEPT

#測試網關是否和公網連通,及防止ping洪水攻擊.

iptables -A INPUT -p icmp -i eth1 -m limit --limit 6/m --limit-burst 2 -j ACCEPT

iptables -A OUTPUT -p icmp -o eth1 -j ACCEPT

#端口映射FTP

iptables -t nat -A PREROUTING -i eth1 -p tcp -d 210.35.92.173 --dport ftp -j DNAT --to-destination 192.168.0.2

#端口映射www

iptables -t nat -A PREROUTING -i eth1 -p tcp -d 210.35.92.173 --dport www -j DNAT --to-destination 192.168.0.2

#邦定內網MAC和IP,防止不合格的成員訪問網關.

iptables -A INPUT -i eth0 -s 192.168.0.2 -m mac --mac-source ! 00:E0:4E:E8:9B:BC -j REJECT

iptables -A INPUT -i eth0 -s ! 192.168.0.2 -m mac --mac-source 00:E0:4E:E8:9B:BC -j REJECT

#檢測子網內部可否通信.

iptables -A INPUT -p icmp -i eth0 -s 192.168.0.0/24 -j ACCEPT

iptables -A OUTPUT -p icmp -o eth0 -d 192.168.0.0/24 -j ACCEPT

#內網可以訪問所有子網內的服務.

iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j ACCEPT

iptables -A OUTPUT -d 192.168.0.0/24 -o eth0 -j ACCEPT

#邦定內網MAC和IP,防止不合格的成員訪問公網.

iptables -A FORWARD -i eth0 -s 192.168.0.2 -m mac --mac-source ! 00:E0:4E:E8:9B:BC -j REJECT

iptables -A FORWARD -i eth0 -s ! 192.168.0.2 -m mac --mac-source 00:E0:4E:E8:9B:BC -j REJECT

#測試子網是否可以和公網通信.

iptables -A FORWARD -p icmp -d 192.168.0.0/24 -i eth1 -o eth0 -m limit --limit 6/m --limit-burst 2 -j ACCEPT

iptables -A FORWARD -p icmp -s 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPT

#禁止QQ服務.

iptables -A FORWARD -p udp -s 192.168.0.0/24 --sport 4000 -i eth0 -o eth1 -j REJECT

#公網可以有限制地請求和子網建立連接,防止SYN洪水攻擊.

iptables -A FORWARD -p tcp -i eth1 --syn -m limit --limit 1/s --limit 1 -j ACCEPT

#子網可以請求和公網建立任何tcp連接.

iptables -A FORWARD -p tcp -i eth0 -s 192.168.0.0/24 -o eth1 -j ACCEPT

#子網對公網訪問時,有限制地接受碎片IP包,防止碎片攻擊.

iptables -A FORWARD -p tcp -f -m limit --limit 100/s --limit-burst 100 -i eth1 -o eth0 -j ACCEPT

iptables -A FORWARD -p tcp -f -i eth1 -o eth0 -j DROP

#子網接受其他的tcp包.

iptables -A FORWARD -p tcp -i eth1 -o eth0 -j ACCEPT

#子網可以訪問其他UDP協議的公網服務.

iptables -A FORWARD -p udp -i eth0 -s 192.168.0.0/24 -o eth1 -j ACCEPT

iptables -A FORWARD -p udp -i eth1 -d 192.168.0.0/24 -o eth0 -m state --state ESTABLISHED -j ACCEPT

#子網訪問公網的模式是偽裝成網關的地址.

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

附加:

iptables的處理圖：

iptables的NAT目標動作擴展

1)SNAT

# iptables -t nat -A POSTROUTING -j SNAT –to-source 1.2.3.4

2)MASQUERADE

# iptables -t nat -A POSTROUTING -j MASQUERADE -o ppp0

3)DNAT

# iptables -t nat -A PREROUTING -j DNAT –to-destination 1.2.3.4:8080 -p tcp –dport 80 -i eth1

4)REDIRECT

# iptables -t nat -A PREROUTING -j REDIRECT –to-port 3128 -i eth1 -p tcp –dport 80

可以用limit模塊去避免以快速比率提升服務回應的阻斷服務攻擊(DoS)。

Syn-flood protection﹕

# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

Furtive port scanner﹕

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Ping of death﹕

# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

posted on 2005-09-26 09:07 MingIsMe 閱讀(2155) 評論(0) 編輯收藏所屬分類: 09 Linux

Samuel Learning

文章分類(203)

新聞分類(52)

.NET資源

Ajax

Java開源

Mobile

WEB資源

Workflow

其他連接

大牛人

開源軟件

敏捷

數據庫

未歸類

經典框架

網絡教程

著名站點

項目管理

最新評論

View Post

iptables 入門